Audiobookshelf — это автономный сервер аудиокниг и подкастов. В версиях веб-приложения Audiobookshelf до 2.32.0 существует уязвимость хранимого межсайтового скриптинга (XSS), которая позволяет произвольное выполнение JavaScript с использованием вредоносных метаданных библиотеки. Злоумышленники с правами на изменение библиотеки могут выполнять код в браузерах пользователей-жертв, что потенциально может привести к перехвату сеанса и краже данных.
Версия 2.32.0 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
Audiobookshelf is a self-hosted audiobook and podcast server. A stored cross-site scripting (XSS) vulnerability exists in versions prior to 2.32.0 of the Audiobookshelf web application that allows arbitrary JavaScript execution through malicious library metadata. Attackers with library modification privileges can execute code in victim users' browsers, potentially leading to session hijacking and data exfiltration. Version 2.32.0 contains a patch for the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1