Katalog CVE

CVE-2026-50231

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na przechowywane ataki typu cross-site scripting (XSS) w podglądzie logów, umożliwiając atakującym wstrzykiwanie złośliwych skryptów poprzez wykorzystanie nieescapowanych zmiennych szablonów. Atakujący mogą wstrzykiwać ładunki XSS za pomocą parametrów zapytania, takich jak wyszukiwanie, linie i ścieżki, lub poprzez wartości, które są rejestrowane, takie jak adresy URL, nagłówki User-Agent, tytuły strumieni lub nazwy odtwarzaczy.

Ocena ryzyka

Podatność ta może prowadzić do wykonania dowolnych skryptów w przeglądarkach użytkowników, co stwarza poważne zagrożenie dla bezpieczeństwa danych i prywatności użytkowników. Atakujący mogą wykorzystać tę lukę do kradzieży informacji lub przejęcia sesji użytkowników.

Rekomendacja

Zaleca się aktualizację serwera muzycznego Lyrion do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wdrożyć mechanizmy walidacji i sanitizacji danych wejściowych, aby zminimalizować ryzyko ataków XSS.

Oryginalny opis (angielski, źródło NVD)

Lyrion Music Server 9.2.0 contains an unauthenticated stored cross-site scripting vulnerability in the log viewer that allows attackers to inject malicious scripts by exploiting unescaped template variables. Attackers can inject XSS payloads through search, lines, and path query parameters or by crafting values that get logged such as URLs, User-Agent headers, stream titles, or player names to execute arbitrary scripts in users' browsers.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS