Plataforma
go
Componente
github.com/navidrome/navidrome
Corregido en
0.60.1
0.60.0
CVE-2026-25579 describe una vulnerabilidad de Denegación de Servicio (DoS) en Navidrome, un servidor multimedia. Esta vulnerabilidad permite a un atacante agotar los recursos del disco a través del envío de parámetros 'size' excesivamente grandes en las rutas /rest/getCoverArt y /share/img/<token>. Afecta a versiones anteriores a 0.60.0. Se recomienda actualizar a la versión 0.60.0 para mitigar el riesgo.
La vulnerabilidad permite a un atacante provocar un agotamiento significativo de los recursos del disco en el servidor Navidrome. Al enviar solicitudes con parámetros 'size' extremadamente grandes, el servidor puede consumir una cantidad desproporcionada de espacio en disco al intentar procesar y almacenar las imágenes de portada o archivos compartidos. Esto puede llevar a la imposibilidad de que el servidor responda a otras solicitudes legítimas, interrumpiendo el servicio para todos los usuarios. El impacto se agrava si el disco del servidor está casi lleno, ya que el agotamiento puede ocurrir rápidamente. No se ha reportado explotación activa, pero la facilidad de la explotación la convierte en un riesgo significativo.
La vulnerabilidad ha sido publicada el 2026-02-05. Actualmente no se encuentra en el KEV de CISA. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza sencilla de la vulnerabilidad sugiere que podrían surgir fácilmente. La falta de autenticación en las rutas afectadas facilita la explotación, lo que aumenta el riesgo.
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
La solución principal es actualizar Navidrome a la versión 0.60.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se pueden implementar mitigaciones temporales. Implemente límites de tamaño estrictos en las solicitudes entrantes a las rutas /rest/getCoverArt y /share/img/<token> a través de un proxy inverso como Nginx o Apache. Configure reglas de firewall para restringir el acceso a estas rutas solo a fuentes confiables. Monitoree el uso del disco en el servidor Navidrome y configure alertas para detectar un uso excesivo. Considere implementar un sistema de cuotas de disco para limitar la cantidad de espacio que cada usuario puede utilizar.
Actualice Navidrome a la versión 0.60.0 o superior. Esta versión corrige la vulnerabilidad que permite la denegación de servicio y el agotamiento del espacio en disco. Puede descargar la última versión desde el sitio web oficial de Navidrome o desde el repositorio de GitHub.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25579 is a critical Denial of Service vulnerability in Navidrome media server versions prior to 0.60.0. Attackers can exploit oversized size parameters to exhaust disk space and disrupt service availability.
You are affected if you are running Navidrome versions 0.59.0 or earlier. Upgrade to version 0.60.0 or later to mitigate the risk.
Upgrade Navidrome to version 0.60.0 or later. As a temporary workaround, implement rate limiting or input validation on the /rest/getCoverArt and /share/img/<token> endpoints.
As of now, there is no public evidence of active exploitation in the wild, but continuous monitoring is recommended.
Refer to the official Navidrome GitHub repository and release notes for the latest information and advisory regarding CVE-2026-25579: https://github.com/navidrome/navidrome
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.