CVE-2026-41457
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
OwnTone Server w wersjach od 28.4 do 29.0 zawiera podatność na wstrzykiwanie SQL w obsłudze zapytań i filtrów DAAP. Atakujący mogą wstrzykiwać dowolne wyrażenia SQL poprzez parametry query= i filter= dla pól DAAP mapowanych na liczby całkowite.
Ocena ryzyka
Ryzyko polega na możliwości ominięcia filtrów i nieautoryzowanego dostępu do danych biblioteki multimediów, co może prowadzić do wycieku poufnych informacji.
Rekomendacja
Zaleca się natychmiastową aktualizację OwnTone Server do wersji nowszej niż 29.0, która zawiera poprawkę usuwającą podatność na wstrzykiwanie SQL.
Oryginalny opis (angielski, źródło NVD)
OwnTone Server versions 28.4 through 29.0 contain a SQL injection vulnerability in DAAP query and filter handling that allows attackers to inject arbitrary SQL expressions by supplying malicious values through the query= and filter= parameters for integer-mapped DAAP fields. Attackers can exploit insufficient sanitization of these parameters to bypass filters and gain unauthorized access to media library data.

