漏洞标题
Audiobookshelf 服务器端请求伪造和任意文件读取漏洞
漏洞描述信息
Audiobookshelf 是一个自托管的音频书籍和播客服务器。在版本 2.4.3 及其之前,拥有更新权限的用户能够读取任意文件,删除任意文件,向任意URL发送 GET 请求并读取响应。此问题可能导致信息泄露。截至发布时,尚未提供补丁。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
信息暴露
漏洞标题
Audiobookshelf Server-Side Request Forgery and Arbitrary File Read Vulnerability
漏洞描述信息
Audiobookshelf is a self-hosted audiobook and podcast server. In versions 2.4.3 and prior, users with the update permission are able to read arbitrary files, delete arbitrary files and send a GET request to arbitrary URLs and read the response. This issue may lead to Information Disclosure. As of time of publication, no patches are available.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
服务端请求伪造(SSRF)
漏洞标题
Audiobookshelf 代码问题漏洞
漏洞描述信息
Audiobookshelf是audiobookshelf开源的一个自托管的有声读物和播客服务器。 Audiobookshelf 2.4.3及之前版本存在代码问题漏洞,该漏洞源于具有更新权限的用户能够读取任意文件、删除任意文件以及向任意URL发送GET请求并读取响应,可能会导致信息泄露。
CVSS信息
N/A
漏洞类别
代码问题