CVE-2026-42883 in audiobookshelf
要約
〜によって VulDB • 2026年05月13日
Audiobookshelfは、自己ホスト型のオーディオブックおよびポッドキャストサーバーです。バージョン2.32.2より前では、GET /api/libraries/:id/downloadエンドポイントは、リクエストを送信したユーザーがURLパスで指定されたライブラリへのアクセス権を持っていることを検証しますが、ダウンロード可能なアイテムの取得は攻撃者が提供したIDのみに基づいて行われ、それらが該当ライブラリに制限されていることは確認されませんでした。ダウンロード権限を持ち、任意の1つのライブラリにアクセスできる認証済みユーザーは、明示的にアクセスが拒否されているライブラリを含む、他の任意のライブラリに属するアイテムの完全なファイル内容を不正に取得(エクスフィル)することができます。この脆弱性は2.32.2で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.