Audiobookshelf — это автономный сервер аудиокниг и подкастов. В версиях мобильного приложения Audiobookshelf до 0.12.0-бета существует уязвимость межсайтового скриптинга (XSS), которая позволяет произвольное выполнение JavaScript с использованием вредоносных метаданных библиотеки. Злоумышленники с правами на изменение библиотеки (или контролем над вредоносным RSS-каналом подкаста) могут выполнять код в веб-представлениях пользователей-жертв, что потенциально может привести к перехвату сеанса, краже данных и несанкционированному доступу к собственным API-интерфейсам устройств. audiobookshelf-app версии 0.12.0-beta устраняет проблему.
Показать оригинальное описание (EN)
Audiobookshelf is a self-hosted audiobook and podcast server. A cross-site scripting (XSS) vulnerability exists in versions prior to 0.12.0-beta of the Audiobookshelf mobile application that allows arbitrary JavaScript execution through malicious library metadata. Attackers with library modification privileges (or control over a malicious podcast RSS feed) can execute code in victim users' WebViews, potentially leading to session hijacking, data exfiltration, and unauthorized access to native device APIs. audiobookshelf-app version 0.12.0-beta fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1