CVE-2026-10108

Nome do Software Vulnerável e Versões Afetadas xiaomusic versão 0.5.7

Description Um problema de path traversal não autenticado existe no endpoint 'GET /music/{file path:path}'. Isso ocorre devido a uma verificação de prefixo de caminho incompleta e à ausência de um separador final na lógica de comparação. Atacantes não autenticados podem ignorar as restrições de caminho criando sequências de travessia para solicitar arquivos de diretórios irmãos que compartilham o prefixo music path, permitindo a recuperação de arquivos arbitrários do servidor.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.