CVE-2024-35236

Versões do Audiobookshelf anteriores à 2.10.0

O Audiobookshelf é um servidor autohospedado de audiolivros e podcasts. Abrir um e-book contendo scripts maliciosos pode levar à execução de código no contexto de navegação. Se um usuário com privilégios elevados, como capacidade de upload ou criação de bibliotecas, for atacado, isso pode resultar em execução remota de código (RCE) no pior dos casos. Esta vulnerabilidade não se limita a um sistema operacional específico, pois a gravação arbitrária de arquivos é suficientemente poderosa para potencialmente levar à RCE em várias plataformas, incluindo o Linux.

Para versões anteriores à 2.10.0, atualize para a versão 2.10.0 para resolver o problema. Como solução temporária, considere restringir os privilégios dos usuários, especialmente aqueles relacionados ao upload e à criação de bibliotecas, para minimizar o risco de exploração. Além disso, evite abrir e-books de fontes não confiáveis para reduzir o risco de execução de código.