CRITICAL🇬🇧 English

CVE-2024-47062

SQL Injection i ORM Leak w Navidrome — wyciek danych i brute-force haseł

CVSS 9.4v4.0pub. 2024-09-20upd. 2025-08-26

Navidrome, otwartoźródłowy serwer strumieniowania muzyki, zawiera krytyczną podatność SQL Injection oraz tzw. ORM Leak, umożliwiające nieautoryzowanemu atakującemu wydobycie danych z bazy, w tym zaszyfrowanych haseł użytkowników. Podatność jest szczególnie groźna, ponieważ nie wymaga skomplikowanego ataku — wystarczy manipulacja parametrami URL.

Pokaż oryginał (EN)

Navidrome is an open source web-based music collection server and streamer. Navidrome automatically adds parameters in the URL to SQL queries. This can be exploited to access information by adding parameters like `password=...` in the URL (ORM Leak). Furthermore, the names of the parameters are not properly escaped, leading to SQL Injections. Finally, the username is used in a `LIKE` statement, allowing people to log in with `%` instead of their username. When adding parameters to the URL, they are automatically included in an SQL `LIKE` statement (depending on the parameter's name). This allows attackers to potentially retrieve arbitrary information. For example, attackers can use the following request to test whether some encrypted passwords start with `AAA`. This results in an SQL query like `password LIKE 'AAA%'`, allowing attackers to slowly brute-force passwords. When adding parameters to the URL, they are automatically added to an SQL query. The names of the parameters are not properly escaped. This behavior can be used to inject arbitrary SQL code (SQL Injection). These vulnerabilities can be used to leak information and dump the contents of the database and have been addressed in release version 0.53.0. Users are advised to upgrade. There are no known workarounds for this vulnerability.

🤖 Analiza AI
Jak działa

Navidrome automatycznie dołącza parametry z adresu URL bezpośrednio do zapytań SQL w klauzulach LIKE, bez odpowiedniej walidacji ani eskejpowania nazw parametrów. Atakujący może dodać do URL parametr taki jak `password=AAA`, co skutkuje zapytaniem `password LIKE 'AAA%'`, umożliwiając stopniowe odgadywanie zaszyfrowanych haseł (atak brute-force oparty na ORM Leak). Ponadto nazwy parametrów URL nie są odpowiednio eskejpowane, co pozwala na wstrzyknięcie dowolnego kodu SQL. Dodatkowo pole nazwy użytkownika podczas logowania jest obsługiwane przez klauzulę LIKE, co pozwala na zalogowanie się przy użyciu znaku wieloznacznego `%` zamiast rzeczywistej nazwy użytkownika.

Skutki

Atakujący może odczytać zawartość całej bazy danych serwera Navidrome, w tym hasła użytkowników, a także ominąć mechanizm uwierzytelniania poprzez użycie znaku wieloznacznego jako nazwy użytkownika.

Mitygacja

Należy zaktualizować Navidrome do wersji 0.53.0 lub nowszej. Producent wskazuje, że nie istnieją znane obejścia (workarounds) tej podatności — aktualizacja jest jedynym skutecznym środkiem zaradczym.

Kogo dotyczy

Navidrome we wszystkich wersjach przed 0.53.0

Uwagi

Podatność została zgłoszona i załatana w wersji 0.53.0. Szczegóły techniczne zostały opublikowane w ramach security advisory na GitHub (GHSA-58vj-cv5w-v4v6).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Navidrome

    APP
    Navidrome
    < 0.53.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-25579CRITICAL9.2PL ✓ten sam produkt

Navidrome: niekontrolowany wzrost pamięci i wyczerpanie dysku przez parametr rozmiaru obrazka

CVE-2024-41259CRITICAL9.1PL ✓ten sam produkt

Navidrome: użycie słabego algorytmu haszowania w integracji z Gravatar

CVE-2025-48949HIGH8.9ten sam produkt

Navidrome is an open source web-based music collection server and streamer. Versions 0.55.0 through 0.55.2 hav...

CVE-2025-48948HIGH7.4ten sam produkt

Navidrome is an open source web-based music collection server and streamer. A permission verification flaw in ...

CVE-2024-56362HIGH7.1ten sam produkt

Navidrome is an open source web-based music collection server and streamer. Navidrome stores the JWT secret in...