Katalog CVE

CVE-2026-10108

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W wersji xiaomusic v0.5.7 występuje podatność na nieautoryzowany dostęp do plików poprzez przejście ścieżki w punkcie końcowym GET /music/{file_path:path}. Atakujący mogą odczytać dowolne pliki spoza zamierzonego katalogu muzycznego, wykorzystując niekompletną kontrolę prefiksu ścieżki.

Ocena ryzyka

Podatność ta pozwala nieautoryzowanym atakującym na dostęp do wrażliwych plików na serwerze, co może prowadzić do ujawnienia danych lub innych poważnych incydentów bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji xiaomusic, która naprawia tę podatność, oraz wdrożenie dodatkowych mechanizmów zabezpieczających, aby ograniczyć dostęp do plików na serwerze.

Oryginalny opis (angielski, źródło NVD)

xiaomusic v0.5.7 contains an unauthenticated path traversal vulnerability in the GET /music/{file_path:path} endpoint that allows unauthenticated attackers to read arbitrary files outside the intended music directory by exploiting an incomplete path prefix check. Attackers can request files from sibling directories whose names share the music_path prefix by crafting traversal sequences, bypassing the path restriction due to the missing trailing separator in the comparison logic to retrieve arbitrary files from the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS