CVE-2026-44776

Nome do Software Vulnerável e Versões Afetadas Kavita versões anteriores a 0.9.0

Descrição A falta de autorização ao nível de biblioteca nos endpoints de download, verificação de tamanho e metadados de capítulos permite que um usuário com baixos privilégios acesse conteúdo de bibliotecas às quais não está atribuído. Ao conhecer ou adivinhar o chapterId, volumeId ou seriesId, um invasor pode baixar o conteúdo completo dos arquivos, consultar tamanhos de arquivos e ler metadados. Os endpoints afetados são '/api/Download/volume-size', '/api/Download/chapter-size', '/api/Download/series-size', '/api/Download/volume', '/api/Download/chapter', '/api/Download/series' e '/api/Chapter'.

Recomendações Atualizar para a versão 0.9.0.