CVE-2025-48948

Nome do Software Vulnerável e Versões Afetadas Versões do Navidrome anteriores a 0.56.0

Descrição Uma falha de verificação de permissão no Navidrome permite que qualquer usuário comum autenticado contorne verificações de autorização e execute operações de configuração de transcodificação exclusivas de administrador, incluindo criar, modificar e excluir configurações de transcodificação. A vulnerabilidade existe nos endpoints da API que gerenciam configurações de transcodificação, como POST /api/transcoding, PUT /api/transcoding/:id, DELETE /api/transcoding/:id e GET /api/transcoding. A aplicação falha ao validar corretamente se um usuário possui privilégios administrativos ao processar solicitações de configuração de transcodificação, apesar do token JWT indicar claramente que o usuário não é um administrador ("adm":false).

Recomendações Para versões do Navidrome anteriores a 0.56.0, atualize para a versão 0.56.0 para aplicar a correção. Como medida de contorno temporária, considere desativar a funcionalidade de transcodificação para minimizar o risco de exploração. Restrinja o acesso aos endpoints vulneráveis da API para minimizar o risco de alterações de configuração não autorizadas. Evite usar os endpoints POST /api/transcoding, PUT /api/transcoding/:id, DELETE /api/transcoding/:id e GET /api/transcoding com credenciais de usuário comum até que o problema seja resolvido.