Audiobookshelf — это автономный сервер аудиокниг и подкастов. В версиях мобильного приложения Audiobookshelf до 0.12.0-бета существует уязвимость, связанная с хранимым межсайтовым скриптингом (XSS), которая позволяет произвольное выполнение JavaScript с использованием вредоносных метаданных библиотеки. Злоумышленники с правами на изменение библиотеки могут выполнять код в браузерах/WebView пользователей-жертв, что потенциально может привести к перехвату сеанса, краже данных и несанкционированному доступу к собственным API-интерфейсам устройств.
Проблема исправлена в бета-версии приложения audiobookshelf 0.12.0, соответствующей версии audiobookshelf 2.12.0.
Показать оригинальное описание (EN)
Audiobookshelf is a self-hosted audiobook and podcast server. A stored cross-site scripting (XSS) vulnerability exists in versions prior to 0.12.0-beta of the Audiobookshelf mobile application that allows arbitrary JavaScript execution through malicious library metadata. Attackers with library modification privileges can execute code in victim users' browsers/WebViews, potentially leading to session hijacking, data exfiltration, and unauthorized access to native device APIs. The issue is fixed in audiobookshelf-app version 0.12.0-beta, corresponding to audiobookshelf version 2.12.0.
Характеристики атаки
Последствия
Строка CVSS v3.1