CVE-2026-48559
ŚrednieCVSS 5.4Streszczenie
Serwer Muzyczny Lightweight (LMS) w wersjach do 3.76.0 zawiera podatność na przechowywane ataki typu cross-site scripting, która pozwala atakującym na wykonanie dowolnego kodu JavaScript poprzez osadzenie złośliwego HTML w metadanych plików multimedialnych, takich jak GENRE, ARTIST lub ALBUM. Atakujący mogą wprowadzić spreparowany plik multimedialny do biblioteki ofiary, co powoduje zapisanie ładunku podczas skanowania biblioteki i automatyczne wykonanie go w interfejsie webowym.
Ocena ryzyka
Podatność ta stwarza ryzyko wykonania złośliwego kodu w przeglądarkach użytkowników, co może prowadzić do kradzieży danych, przejęcia sesji lub innych ataków na użytkowników korzystających z serwera. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem danych użytkowników.
Rekomendacja
Zaleca się aktualizację serwera do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy sanitizacji danych wejściowych, aby zapobiec osadzaniu złośliwego kodu w metadanych plików multimedialnych.
Oryginalny opis (angielski, źródło NVD)
Lightweight Music Server (LMS) though 3.76.0 contains a stored cross-site scripting vulnerability that allows attackers to execute arbitrary JavaScript by embedding malicious HTML in media file metadata tags such as GENRE, ARTIST, or ALBUM. Attackers can introduce a crafted media file into the victim's library, causing the payload to be saved during library scanning and executed automatically in the web interface due to tag content being rendered using Wt::TextFormat::UnsafeXHTML without sanitization in src/lms/ui/Utils.cpp.

