Katalog CVE

CVE-2026-41457

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

OwnTone Server w wersjach od 28.4 do 29.0 zawiera podatność na wstrzykiwanie SQL w obsłudze zapytań i filtrów DAAP. Atakujący mogą wstrzykiwać dowolne wyrażenia SQL poprzez parametry query= i filter= dla pól DAAP mapowanych na liczby całkowite.

Ocena ryzyka

Ryzyko polega na możliwości ominięcia filtrów i nieautoryzowanego dostępu do danych biblioteki multimediów, co może prowadzić do wycieku poufnych informacji.

Rekomendacja

Zaleca się natychmiastową aktualizację OwnTone Server do wersji nowszej niż 29.0, która zawiera poprawkę usuwającą podatność na wstrzykiwanie SQL.

Oryginalny opis (angielski, źródło NVD)

OwnTone Server versions 28.4 through 29.0 contain a SQL injection vulnerability in DAAP query and filter handling that allows attackers to inject arbitrary SQL expressions by supplying malicious values through the query= and filter= parameters for integer-mapped DAAP fields. Attackers can exploit insufficient sanitization of these parameters to bypass filters and gain unauthorized access to media library data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS