CVE-2026-42885 in audiobookshelfthông tin

Tóm tắt

Bởi VulDB • 23/05/2026

Audiobookshelf là một máy chủ sách nói và podcast tự lưu trữ. Trước phiên bản 2.32.2, điểm cuối POST /api/filesystem/pathexists sử dụng String.startsWith() để xác thực rằng đường dẫn tệp đã phân giải nằm trong một thư mục thư viện. Kiểm tra này thất bại đối với các thư mục anh em (sibling directories) có tên chia sẻ một tiền tố chung (ví dụ: /audiobooks so với /audiobooks-private), cho phép người dùng đã xác thực có quyền tải lên thăm dò sự tồn tại của tệp bên ngoài ranh thư mục thư viện được ủy quyền của họ. Lỗ hổng này đã được sửa trong phiên bản 2.32.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

GitHub M

Đặt trước

30/04/2026

Tiết lộ

11/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-362779

CPE

sẵn sàng

CWE

CWE-22 (Đã xác nhận)

CVSS

4.3 (CNA)

EPSS

0.00040

KEV

không

Các hoạt động

rất thấp

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42885
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42885
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42885/

◂ Trước Tổng Quan Tiếp theo ▸

Interested in the pricing of exploits?

See the underground prices here!