CVE-2025-46338

Nome do Software Vulnerável e Versões Afetadas Versões do Audiobookshelf anteriores à 2.21.0

Descrição O Audiobookshelf, um servidor de audiolivros e podcasts auto-hospedado, contém um problema de manipulação inadequada de entrada no endpoint "/api/upload". Isso permite que um atacante execute um ataque de cross-site scripting (XSS) refletido ao enviar payloads maliciosos no campo libraryId. A entrada não sanitizada é refletida na mensagem de erro do servidor, permitindo a execução arbitrária de JavaScript no navegador da vítima.

Recomendações Para versões anteriores à 2.21.0, atualize para a versão 2.21.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint "/api/upload" para minimizar o risco de exploração. Evite usar o campo libraryId no endpoint de API afetado até que o problema seja resolvido.