CVE-2026-10108 in xiaomusic
摘要
由 VulDB • 2026-05-30
xiaomusic v0.5.7 在 GET /music/{file_path:path} 端点中存在一个未认证的目录遍历漏洞,攻击者可通过利用不完整的路径前缀检查,读取预期音乐目录之外的任意文件。攻击者可以通过构造遍历序列,请求与 music_path 前缀相同的兄弟目录中的文件,由于比较逻辑中缺少尾部分隔符,从而绕过路径限制,从服务器检索任意文件。
If you want to get best quality of vulnerability data, you may have to visit VulDB.