CVE-2024-32963

Parameter Tampering vulnerability in Navidrome

Severity Score

4.2

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

Track*

*SSVC

Descriptions

Navidrome is an open source web-based music collection server and streamer. In affected versions of Navidrome are subject to a parameter tampering vulnerability where an attacker has the ability to manipulate parameter values in the HTTP requests. The attacker is able to change the parameter values in the body and successfully impersonate another user. In this case, the attacker created a playlist, added song, posted arbitrary comment, set the playlist to be public, and put the admin as the owner of the playlist. The attacker must be able to intercept http traffic for this attack. Each known user is impacted. An attacker can obtain the ownerId from shared playlist information, meaning every user who has shared a playlist is also impacted, as they can be impersonated. This issue has been addressed in version 0.52.0 and users are advised to upgrade. There are no known workarounds for this vulnerability.

Navidrome es un servidor y transmisor de colección de música basado en web de código abierto. En las versiones afectadas de Navidrome están sujetas a una vulnerabilidad de manipulación de parámetros donde un atacante tiene la capacidad de manipular los valores de los parámetros en las solicitudes HTTP. El atacante puede cambiar los valores de los parámetros en el cuerpo y hacerse pasar por otro usuario. En este caso, el atacante creó una lista de reproducción, agregó una canción, publicó un comentario arbitrario, configuró la lista de reproducción para que fuera pública y puso al administrador como propietario de la lista de reproducción. El atacante debe poder interceptar el tráfico http para este ataque. Cada usuario conocido se ve afectado. Un atacante puede obtener el ID del propietario a partir de la información de la lista de reproducción compartida, lo que significa que todos los usuarios que han compartido una lista de reproducción también se ven afectados, ya que pueden ser suplantados. Este problema se solucionó en la versión 0.52.0 y se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

*Credits: N/A

CVSS Scores

GitHubv3.1 4.2

Attack Vector

Network

Attack Complexity

High

Privileges Required

Low

User Interaction

None

Scope

Unchanged

Confidentiality

Low

Integrity

Low

Availability

None

* Common Vulnerability Scoring System

SSVC

Decision:Track*

Exploitation

Poc

Automatable

Tech. Impact

Partial

* Organization's Worst-case Scenario

Timeline

2024-04-22 CVE Reserved
2024-05-01 CVE Published
2024-05-01 EPSS Updated
2024-08-02 CVE Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-200: Exposure of Sensitive Information to an Unauthorized Actor

CAPEC

References (1)

URL	Tag	Source
https://github.com/navidrome/navidrome/security/advisories/GHSA-4jrx-5w4h-3gpm	X_refsource_confirm

URL	Date	SRC

URL	Date	SRC

URL	Date	SRC

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Navidrome Search vendor "Navidrome"		Navidrome Search vendor "Navidrome" for product "Navidrome"				< 0.52.0 Search vendor "Navidrome" for product "Navidrome" and version " < 0.52.0"		en		Affected