CVE-2026-50233
ŚrednieCVSS 5.3Streszczenie
Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na nieautoryzowane wyświetlanie zawartości katalogów w zapytaniu readdirectory, które jest dostępne zarówno przez usługę CLI (port TCP 9090), jak i przez punkt końcowy HTTP JSON-RPC (/jsonrpc.js). Zapytanie akceptuje parametr folder i wyświetla jego zawartość bez ograniczeń do skonfigurowanych katalogów multimedialnych oraz bez uwierzytelnienia w domyślnej konfiguracji.
Ocena ryzyka
Podatność ta pozwala zdalnemu, nieautoryzowanemu atakującemu na enumerację dowolnych lokalizacji w systemie plików hosta, co może prowadzić do ujawnienia wrażliwych informacji. Organizacje mogą być narażone na ryzyko utraty danych lub naruszenia prywatności.
Rekomendacja
Zaleca się skonfigurowanie odpowiednich ograniczeń dostępu do katalogów oraz włączenie uwierzytelniania dla usługi, aby zminimalizować ryzyko nieautoryzowanego dostępu do systemu plików.
Oryginalny opis (angielski, źródło NVD)
Lyrion Music Server 9.2.0 contains an arbitrary directory listing vulnerability in its readdirectory query, exposed through both the CLI service (TCP port 9090) and the HTTP JSON-RPC endpoint (/jsonrpc.js). The query accepts a folder parameter and lists its contents with no restriction to the configured media directories and no authentication in the default configuration, allowing a remote, unauthenticated attacker to enumerate arbitrary locations on the host filesystem.

