Lachlan-00

**Name of the Vulnerable Software and Affected Versions** ampache/ampache versions prior to 5.5.7 **Description** The issue is related to Cross-site Scripting (XSS) - Reflected. This is a type of attack where an attacker injects malicious code into a website, which is then executed by the user's browser. The estimated number of potentially affected devices worldwide is not specified. There is no information about real-world incidents where this issue was exploited. **Recommendations** For versions prior to 5.5.7, update to version 5.5.7 or later to resolve the issue. At the moment, there is no other information about additional mitigation measures.

**Nome do software vulnerável e versões afetadas** Versões do Ampache anteriores à 4.2.2 **Descrição** A vulnerabilidade permite que usuários não autenticados realizem injeção de SQL. Uma correção para esse problema está incluída na versão 4.2.2 e no ramo de desenvolvimento. **Recomendações** Para versões anteriores à 4.2.2, atualize para a versão 4.2.2 ou mude para o ramo de desenvolvimento para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a operações sensíveis no banco de dados até que a atualização possa ser aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Ampache anteriores à 4.4.1 **Descrição** A vulnerabilidade permite o acesso não autenticado ao Ampache por meio da API do Subsonic. Para explorar essa vulnerabilidade, um invasor deve usar um `username` que não faça parte do site para contornar as verificações de autenticação. **Recomendações** Para versões anteriores à 4.4.1, atualize para a versão 4.4.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à API Subsonic até que um patch seja aplicado. Evite usar valores de `username` desconhecidos ou não verificados na API Subsonic para minimizar o risco de exploração.