Informazioni sul CVE-2025-27112
Navidrome has authentication bypass in Subsonic API with non-existent username
CWE ID: CWE-287
Base Score (CVSS): 6.9
CVE: CVE-2025-27112
Descrizione: Navidrome è un server web e streamer basato su musica open source. In versioni precedenti a 0.54.5, in alcuni endpoint dell’API Subsonic, un difetto nel processo di verifica dell’autenticazione permette a un attaccante di specificare qualsiasi username arbitrario che non esiste nel sistema, insieme a un hash salato di una password vuota. In queste condizioni, Navidrome tratta la richiesta come autenticata, concedendo l’accesso a vari endpoint Subsonic senza richiedere credenziali valide. Un attaccante può utilizzare qualsiasi username non esistente per aggirare il sistema di autenticazione e ottenere l’accesso a vari dati di lettura in Navidrome, come playlist utente. Tuttavia, qualsiasi tentativo di modificare i dati fallisce con un errore “accesso negato” a causa di mancanza di permessi, limitando l’impatto all’accesso non autorizzato alle informazioni. La versione 0.54.5 contiene una patch per questo problema.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/navidrome/navidrome/security/advisories/GHSA-c3p4-vm8f-386p
- https://github.com/navidrome/navidrome/commit/287079a9e409fb6b9708ca384d7daa7b5185c1a0
Prodotti interessati
- navidrome – navidrome
Relazioni con altri prodotti
Produttore:navidrome
Prodotto: navidrome
Anno: 2025
CWE: CWE-287
CVSS: 6.9