CVE-2025-48949

Nome do Software Vulnerável e Versões Afetadas Versões do Navidrome de 0.55.0 a 0.55.2

Descrição O problema surge devido à validação de entrada inadequada no parâmetro role no endpoint da API /api/artist. Atacantes podem explorar essa falha para injetar consultas SQL arbitrárias, potencialmente obtendo acesso não autorizado ao banco de dados backend e comprometendo informações sensíveis dos usuários. A vulnerabilidade afeta o banco de dados SQLite e permite que um atacante não autenticado execute comandos SQL arbitrários, extraia ou manipule dados sensíveis e, potencialmente, escale privilégios ou interrompa a disponibilidade do serviço.

Recomendações Para as versões do Navidrome de 0.55.0 a 0.55.2, atualize para a versão 0.56.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API /api/artist para minimizar o risco de exploração. Evite usar o parâmetro role no endpoint da API afetado até que o problema seja resolvido.