CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-50233

MediumCVSS 5.3
Published: Updated: Translated: NVD NIST

Summary

Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na nieautoryzowane wyświetlanie zawartości katalogów w zapytaniu readdirectory, które jest dostępne zarówno przez usługę CLI (port TCP 9090), jak i przez punkt końcowy HTTP JSON-RPC (/jsonrpc.js). Zapytanie akceptuje parametr folder i wyświetla jego zawartość bez ograniczeń do skonfigurowanych katalogów multimedialnych oraz bez uwierzytelnienia w domyślnej konfiguracji.

Risk Assessment

Podatność ta pozwala zdalnemu, nieautoryzowanemu atakującemu na enumerację dowolnych lokalizacji w systemie plików hosta, co może prowadzić do ujawnienia wrażliwych informacji. Organizacje mogą być narażone na ryzyko utraty danych lub naruszenia prywatności.

Recommendation

Zaleca się skonfigurowanie odpowiednich ograniczeń dostępu do katalogów oraz włączenie uwierzytelniania dla usługi, aby zminimalizować ryzyko nieautoryzowanego dostępu do systemu plików.

Original NVD description (English source)

Lyrion Music Server 9.2.0 contains an arbitrary directory listing vulnerability in its readdirectory query, exposed through both the CLI service (TCP port 9090) and the HTTP JSON-RPC endpoint (/jsonrpc.js). The query accepts a folder parameter and lists its contents with no restriction to the configured media directories and no authentication in the default configuration, allowing a remote, unauthenticated attacker to enumerate arbitrary locations on the host filesystem.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS