CVE-2025-67737 in AzuraCast
Zusammenfassung
von VulDB • 26.06.2026
AzuraCast ist eine selbst gehostete All-in-One-Webradio-Management-Suite. Die Versionen 0.23.1 enthalten versehentlich einen API-Endpunkt, der für die interne Nutzung durch die SFTP-Software sftpgo vorgesehen war und ihn somit über die öffentlich zugängliche HTTP-API von AzuraCast-Installationen exponiert. Ein Benutzer mit spezifischem internem Wissen über den Betrieb einer Station kann eine benutzerdefinierte HTTP-Anfrage erstellen, die sich auf den Inhalt der Datenbank dieser Station auswirkt, ohne dabei interne Informationen über die Station preiszugeben. Um einen Angriff durchzuführen, müsste ein böswilliger Benutzer einen gültigen SFTP-Station-Benutzernamen und die koordinierte interne Dateisystemstruktur kennen. Dieses Problem wurde in Version 0.23.2 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.