CVE-2024-43797

Versões do Audiobookshelf anteriores à 2.13.0

O Audiobookshelf é um servidor autohospedado de audiolivros e podcasts no qual um usuário não administrador não tem permissão para criar bibliotecas, podendo acessar apenas aquelas para as quais possui permissão. No entanto, o LibraryController não realiza a verificação de usuário administrador, permitindo uma vulnerabilidade de traversal de caminho. Isso permite que usuários não administradores gravem em qualquer diretório do sistema, o que deveria ser restrito apenas a permissões de administrador, tornando-se uma falha no Controle de Acesso Baseado em Função (RBAC). A falha foi corrigida na versão 2.13.0.

Para versões anteriores à 2.13.0, atualize para a versão 2.13.0 para resolver a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao LibraryController para minimizar o risco de exploração. Não há soluções alternativas conhecidas para esta vulnerabilidade além da atualização para a versão corrigida.