CVE-2026-49340
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
W gonic, serwerze strumieniowania muzyki, przed wersją 0.21.0 występuje błąd logiczny w funkcji `ServeCreateOrUpdatePlaylist`, który pozwala każdemu uwierzytelnionemu użytkownikowi Subsonic (w tym nie-administratorom) na zapisanie zawartości playlisty M3U w kontrolowanej przez atakującego absolutnej ścieżce systemu plików na hoście gonic.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do zapisywania nieautoryzowanych plików w systemie plików, co może prowadzić do dalszych ataków lub naruszenia integralności danych.
Rekomendacja
Zaleca się aktualizację do wersji 0.21.0 lub nowszej, aby usunąć tę podatność oraz przegląd uprawnień do systemu plików na hoście gonic.
Oryginalny opis (angielski, źródło NVD)
gonic is a music streaming server / free-software subsonic server API implementation. Prior to version 0.21.0, a logic error in `ServeCreateOrUpdatePlaylist` allows any authenticated Subsonic user (including non-admin) to write playlist M3U content to an attacker-controlled absolute filesystem path on the gonic host, and to create intermediate directories with `0o777` permissions. The bug is independent of CVE-2026-49338 and CVE-2026-49339. It is an unreachable guard clause combined with no path containment in `Store.Write`. Version 0.21.0 patches the issue.

