漏洞描述
Navidrome是一款开源的自托管音乐流媒体服务器,专为个人或小规模团队设计,允许用户将本地存储的音乐文件通过网页或兼容的客户端(如Subsonic、Audiophile等)随时随地访问和播放。NAVIDROME存在身份认证绕过漏洞,允许攻击者指定系统上不存在的任何任意用户名,以及空密码的加盐哈希值,在这些情况下,Navidrome将请求视为经过身份验证,无需有效凭证即可授予对各种 Subsonic 终端节点的访问权限。
NAVIDROME 存在身份认证绕过漏洞(CVE-2025-27112)
PoC代码
暂无