Vulnerabilities ›

CVE-2026-27974

Medium

CWE-79 — Weakness Type

                    Published: Feb 26, 2026                      ·  Modified: Mar 5, 2026                      ·  Source: NVD                

CVSS v3

4.8

🔗 NVD Official

📄 Description (English)

Audiobookshelf is a self-hosted audiobook and podcast server. A cross-site scripting (XSS) vulnerability exists in versions prior to 0.12.0-beta of the Audiobookshelf mobile application that allows arbitrary JavaScript execution through malicious library metadata. Attackers with library modification privileges (or control over a malicious podcast RSS feed) can execute code in victim users' WebViews, potentially leading to session hijacking, data exfiltration, and unauthorized access to native device APIs. audiobookshelf-app version 0.12.0-beta fixes the issue.

🤖 AI Executive Summary

Audiobookshelf mobile app versions before 0.12.0-beta contain a stored XSS vulnerability in library metadata that allows privileged attackers to execute arbitrary JavaScript in WebViews. This can lead to session hijacking, data theft, and unauthorized access to device APIs through malicious podcast feeds or library modifications.

📄 Description (Arabic)

تحتوي نسخ تطبيق Audiobookshelf للهاتف المحمول السابقة للإصدار 0.12.0-beta على ثغرة XSS مخزنة تسمح للمهاجمين الذين لديهم امتيازات تعديل المكتبة أو التحكم في خلاصات RSS ضارة بتنفيذ كود JavaScript عشوائي في WebViews. يمكن لهذه الثغرة أن تؤدي إلى اختراق الجلسات وسرقة البيانات والوصول غير المصرح به إلى واجهات برمجة التطبيقات الأصلية للجهاز.

🤖 ملخص تنفيذي (AI)

تطبيق Audiobookshelf للهاتف المحمول الإصدارات السابقة للإصدار 0.12.0-beta يحتوي على ثغرة XSS مخزنة في بيانات المكتبة تسمح للمهاجمين بتنفيذ كود JavaScript عشوائي. يمكن أن يؤدي هذا إلى اختراق الجلسات وسرقة البيانات والوصول غير المصرح به إلى واجهات برمجة التطبيقات للجهاز.

🤖 AI Intelligence Analysis Analyzed: May 30, 2026 07:08

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1059.007 T1185 T1539

⚖️ Saudi Risk Score (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Immediately update Audiobookshelf mobile application to version 0.12.0-beta or later. Implement input validation and output encoding for all library metadata. Restrict library modification privileges to trusted users only. Monitor podcast RSS feeds for malicious content. Disable WebView JavaScript execution if not required.

🔧 خطوات المعالجة (العربية)

قم بتحديث تطبيق Audiobookshelf للهاتف المحمول إلى الإصدار 0.12.0-beta أو أحدث فوراً. طبق التحقق من صحة المدخلات وترميز المخرجات لجميع بيانات المكتبة. قيد امتيازات تعديل المكتبة للمستخدمين الموثوقين فقط. راقب خلاصات RSS للبودكاست بحثاً عن محتوى ضار. عطل تنفيذ JavaScript في WebView إذا لم يكن مطلوباً.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1

🔵 SAMA CSF

ID.BE-1 PR.DS-1 PR.DS-2

🟡 ISO 27001:2022

A.6.2.1 A.13.1.1 A.13.1.3

🔗 References & Sources 2

🔗

https://github.com/advplyr/audiobookshelf-app/commit/bab95530c8c3d7a4b4cec5b059da8b79ad...

security-advisories@github.com

🔗

https://github.com/advplyr/audiobookshelf/security/advisories/GHSA-8c9r-pvrj-vcf5

security-advisories@github.com

📊 CVSS Score

4.8

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score4.8

CWECWE-79

Exploit No

Patch ✗ No

Published 2026-02-26

Source Feed nvd

🇸🇦 Saudi Risk Score

5.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-79

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-27974

💬 Comments

Introduce Yourself

Sign In Required