CRITICAL🇬🇧 English

CVE-2024-41259

Navidrome: użycie słabego algorytmu haszowania w integracji z Gravatar

CVSS 9.1v3.1pub. 2024-08-01upd. 2025-08-26

Navidrome v0.52.3 wykorzystuje niezabezpieczony algorytm haszowania w integracji z serwisem Gravatar, co umożliwia atakującym manipulację informacjami o koncie użytkownika. Podatność jest dostępna zdalnie bez uwierzytelnienia, co czyni ją szczególnie niebezpieczną.

Pokaż oryginał (EN)

Use of insecure hashing algorithm in the Gravatar's service in Navidrome v0.52.3 allows attackers to manipulate a user's account information.

🤖 Analiza AI
Jak działa

Serwis Gravatar identyfikuje profile użytkowników na podstawie skrótu (hasha) adresu e-mail. Navidrome v0.52.3 stosuje w tym procesie słaby, niezabezpieczony algorytm haszowania (np. MD5), który jest podatny na kolizje lub odwracanie. Atakujący może wykorzystać tę słabość do powiązania fałszywych danych profilowych z kontem docelowego użytkownika, skutecznie manipulując informacjami wyświetlanymi w aplikacji.

Skutki

Atakujący bez żadnego uwierzytelnienia może manipulować informacjami o koncie użytkownika (np. awatarem lub danymi profilowymi pobieranymi z Gravatara), co stanowi naruszenie integralności i poufności danych konta.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację do nowszej wersji Navidrome, w której zastosowano bezpieczny algorytm haszowania w integracji z Gravatar.

Kogo dotyczy

Navidrome w wersji 0.52.3

Uwagi

Szczegółowy opis techniczny podatności dostępny jest pod adresem: https://gist.github.com/nyxfqq/d192af10b53a363e2d9e430068333e04

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Navidrome

    APP
    Navidrome
    ≤ 0.52.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-25579CRITICAL9.2PL ✓ten sam produkt

Navidrome: niekontrolowany wzrost pamięci i wyczerpanie dysku przez parametr rozmiaru obrazka

CVE-2024-47062CRITICAL9.4PL ✓ten sam produkt

SQL Injection i ORM Leak w Navidrome — wyciek danych i brute-force haseł

CVE-2025-48949HIGH8.9ten sam produkt

Navidrome is an open source web-based music collection server and streamer. Versions 0.55.0 through 0.55.2 hav...

CVE-2025-48948HIGH7.4ten sam produkt

Navidrome is an open source web-based music collection server and streamer. A permission verification flaw in ...

CVE-2024-56362HIGH7.1ten sam produkt

Navidrome is an open source web-based music collection server and streamer. Navidrome stores the JWT secret in...