CVE-2026-49339

Nome do Software Vulnerável e Versões Afetadas gonic versões anteriores a 0.21.0

Description Um usuário autenticado do Subsonic pode ignorar as verificações de propriedade para ler ou excluir playlists pertencentes a outros usuários e sondar caminhos de arquivos arbitrários no host para verificar existência ou legibilidade. Isso ocorre porque o playlist.UserID é derivado do primeiro segmento de caminho do ID da playlist, mas não há contenção de caminho no caminho do arquivo resolvido. O problema envolve a travessia de caminho (path traversal) no parâmetro id, permitindo a violação da fronteira destinada a evitar referências diretas inseguras a objetos (IDOR), que é uma vulnerabilidade onde uma aplicação fornece acesso direto a objetos com base em entradas fornecidas pelo usuário.

Recommendations Atualize para a versão 0.21.0.