PT-2024-29336 · Navidrome · Navidrome

Yuexi Zhang

·

Publicado

2024-08-01

·

Atualizado

2025-08-26

·

CVE-2024-41259

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
Navidrome versão 0.52.3
Descrição
O problema diz respeito ao uso de um algoritmo de hash inseguro, especificamente o MD5, no serviço Gravatar do Navidrome. Isso permite que invasores manipulem as informações da conta de um usuário.
Recomendações
Para a versão 0.52.3 do Navidrome, considere desativar o uso do algoritmo de hash MD5 no serviço Gravatar até que uma alternativa segura seja implementada. Restrinja o acesso às informações da conta para minimizar o risco de exploração.

Correção

Missing Authentication

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-306CWE-200CWE-305

Identificadores relacionados

CVE-2024-41259
GHSA-HRMX-8JJV-G758
GO-2024-3029

Produtos afetados

Navidrome