AzuraCast 0.23.6 (24 avril 2026)

Cette version consiste uniquement à corriger un certain nombre de vulnérabilités de sécurité signalées dans AzuraCast. Une majorité d'entre eux Les vulnérabilités ne s'appliquent qu'aux utilisateurs déjà connectés, ce qui leur permet d'accéder à des fichiers ou à des emplacements qu'ils doivent normalement ne devrait pas pouvoir accéder; si vous exploitez une installation multi-locataires d'AzuraCast, la mise à jour est très élevée recommandé.

Corrections de sécurité/bug

  • Amélioration de la sécurité pour les téléchargements de médias locaux afin d'empêcher la traversée intentionnelle en dehors des médias de la station répertoire. Cette vulnérabilité n'a affecté que les utilisateurs déjà connectés avec des autorisations et n'a pas autorisé l'anonyme utilisateurs pour télécharger des médias à tout moment. GHSA-vp2f-cqqp-478j

  • Amélioration de la protection autour du point de terminaison interne de l'API Liquidsoap (feedback, djon/djoff, etc.). GHSA-4fm3-ggg2-c6qx

  • Amélioration des vérifications de sécurité autour du point de terminaison API de lecture Media manager. GHSA-qff7-q5fm-8p76

  • Fini la mise en œuvre de "cordes brutes" entièrement échappées dans la configuration Liquidsoap. GHSA-q4ph-8x8g-95f8

  • L'e-mail envoyé par la fonction "Réinitialiser le mot de passe" utilisera désormais toujours l'"URL de base" configurée dans les paramètres du système, au lieu de respecter le paramètre "Préférer l'URL du navigateur", pour éviter les risques de sécurité potentiels. Vous devez toujours vous assurer le paramètre système "URL de base" est configuré correctement pour éviter de diriger les utilisateurs vers la mauvaise URL. GHSA-gv7r-3mr9-h5x8

 

Tuesday, July 7, 2026


« Voltar