一、 漏洞 CVE-2025-60427 基础信息
漏洞信息
# N/A
## 概述
LibreTime 存在访问控制漏洞,攻击者可借此绕过权限限制,获取不应访问的数据。
## 影响版本
LibreTime 3.0.0-alpha.10 及可能更早版本
## 细节
具有 DJ 角色的用户可通过 Web UI 或直接 API 调用访问分析数据。后端未对分析相关接口进行角色权限验证,导致权限不足的用户可以获取整个站点的统计信息。
## 影响
该漏洞可能导致敏感的统计信息泄露给低权限用户,造成信息泄露风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
LibreTime 3.0.0-alpha.10 and possibly earlier is vulnerable to Broken Access Control, where a user with the DJ role can access analytics data via the Web UI and direct API calls. The backend does not verify role-based permissions for analytics endpoints, allowing unauthorized retrieval of station-wide metrics. This results in information disclosure to less privileged users.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Libretime 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Libretime是一个无线电广播和自动化平台。 Libretime 3.0.0-alpha.10及之前版本存在安全漏洞,该漏洞源于未验证基于角色的权限,可能导致信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-60427 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-60427 的情报信息
-
标题: GitHub - libretime/libretime: LibreTime: Radio Broadcast & Automation Platform -- 🔗来源链接
标签:
神龙速读
-
-
标题: Broken Access Control in LibreTime analytics endpoints (CVE-2025-60427) | beafn28 -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-60427
四、漏洞 CVE-2025-60427 的评论
暂无评论