CVE-2024-32963

Versões do Navidrome anteriores à 0.52.0

O Navidrome é um servidor e reprodutor de música de código aberto baseado na web. A vulnerabilidade consiste na manipulação de parâmetros, permitindo que um invasor altere os valores dos parâmetros nas solicitações HTTP, o que lhe permite se passar por outro usuário. Isso pode ser feito alterando os valores dos parâmetros no corpo da solicitação, e o invasor precisa ser capaz de interceptar o tráfego HTTP para realizar esse ataque. Todos os usuários conhecidos são afetados, e um invasor pode obter o ownerId a partir das informações de playlists compartilhadas, o que significa que todos os usuários que compartilharam uma playlist também são afetados, pois podem ter sua identidade usurpada.

Para versões do Navidrome anteriores à 0.52.0, atualize para a versão 0.52.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a listas de reprodução compartilhadas e limitar a capacidade de interceptar o tráfego HTTP. Evite usar informações de listas de reprodução compartilhadas para minimizar o risco de exploração. Não há soluções alternativas conhecidas para esta vulnerabilidade além da atualização para a versão corrigida.