PT-2025-7778 · Navidrome+1 · Navidrome+1

Daniele-Athome

·

Publicado

2025-02-24

·

Atualizado

2025-03-13

·

CVE-2025-27112

CVSS v4.0

6.9

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Versões do Navidrome de 0.52.0 a 0.54.4
Descrição O problema está relacionado a uma falha no processo de verificação de autenticação em determinados endpoints da API Subsonic. Esta falha permite que um atacante contorne a autenticação especificando qualquer nome de usuário arbitrário e inexistente juntamente com um hash salgado de uma senha vazia, concedendo acesso a dados somente leitura sem credenciais válidas. O atacante pode visualizar diversas informações, como playlists de usuários, mas não pode modificar dados devido a permissões insuficientes.
Recomendações Para as versões do Navidrome de 0.52.0 a 0.54.4, atualize para a versão 0.54.5 para resolver o problema.

Exploit

Correção

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287

Identificadores relacionados

ALT-PU-2025-3437
CVE-2025-27112
GHSA-C3P4-VM8F-386P
GO-2025-3484
OPENSUSE-SU-2025:14889-1

Produtos afetados

Alt Linux
Navidrome