CVE-2026-42885 in audiobookshelfinformation

Résumé

par VulDB • 23/05/2026

Audiobookshelf est un serveur auto-hébergé de livres audio et de podcasts. Avant la version 2.32.2, le point de terminaison POST /api/filesystem/pathexists utilise String.startsWith() pour valider qu'un chemin de fichier résolu se trouve dans un dossier de bibliothèque. Cette vérification échoue pour les répertoires frères dont les noms partagent un préfixe commun (par exemple, /audiobooks vs /audiobooks-private), permettant aux utilisateurs authentifiés disposant de droits de téléchargement de sonder l'existence de fichiers en dehors des limites de leur dossier de bibliothèque autorisé. Cette vulnérabilité est corrigée dans la version 2.32.2.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

30/04/2026

Divulgation

11/05/2026

Modérer

accepté

Entrée

VDB-362779

CPE

prêt

EPSS

0.00040

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42885
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42885
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42885/

PrécédentAperçuSuivant

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!