Vulnerabilidad en Navidrome (CVE-2024-32963)

Navidrome es un servidor y transmisor de colección de música basado en web de código abierto. En las versiones afectadas de Navidrome están sujetas a una vulnerabilidad de manipulación de parámetros donde un atacante tiene la capacidad de manipular los valores de los parámetros en las solicitudes HTTP. El atacante puede cambiar los valores de los parámetros en el cuerpo y hacerse pasar por otro usuario. En este caso, el atacante creó una lista de reproducción, agregó una canción, publicó un comentario arbitrario, configuró la lista de reproducción para que fuera pública y puso al administrador como propietario de la lista de reproducción. El atacante debe poder interceptar el tráfico http para este ataque. Cada usuario conocido se ve afectado. Un atacante puede obtener el ID del propietario a partir de la información de la lista de reproducción compartida, lo que significa que todos los usuarios que han compartido una lista de reproducción también se ven afectados, ya que pueden ser suplantados. Este problema se solucionó en la versión 0.52.0 y se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.