Navidrome — это веб-сервер и стример для сбора музыки с открытым исходным кодом. До версии 0.60.0 уязвимость межсайтового скриптинга во внешнем интерфейсе позволяла злоумышленнику внедрить код через метаданные комментариев к песне для кражи учетных данных пользователя. Эта проблема исправлена в версии 0.60.0.
Показать оригинальное описание (английский)
Navidrome is an open source web-based music collection server and streamer. Prior to version 0.60.0, a cross-site scripting vulnerability in the frontend allows a malicious attacker to inject code through the comment metadata of a song to exfiltrate user credentials. This issue has been patched in version 0.60.0.
Матрица атаки
Вектор атаки
Локальный
Локальный доступ
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Не требуются
Права не нужны
Взаимодействие с пользователем
Требуется
Нужен клик жертвы
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Низкое
Частичная модификация
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N