Lyrion Music Server 9.2.0 contains an arbitrary directory listing vulnerability in its readdirectory query, exposed through both the CLI service (TCP port 9090) and the HTTP JSON-RPC endpoint (/jsonrpc.js). The query accepts a folder parameter and lists its contents with no restriction to the configured media directories and no authentication in the default configuration, allowing a remote, unauthenticated attacker to enumerate arbitrary locations on the host filesystem.
Lyrion Music Server 9.2.0 exposes an arbitrary directory listing vulnerability through unauthenticated CLI and HTTP endpoints, allowing remote attackers to enumerate filesystem contents without restrictions. The readdirectory query parameter lacks proper path validation and authentication controls in default configurations.
يحتوي خادم Lyrion Music Server 9.2.0 على ثغرة في الوصول إلى المجلدات التعسفية في استعلام readdirectory المكشوف عبر خدمة سطر الأوامر (منفذ TCP 9090) ونقطة نهاية HTTP JSON-RPC. يسمح الاستعلام بتعداد محتويات أي موقع في نظام الملفات دون تقييد على المجلدات المكونة أو المصادقة في التكوين الافتراضي.
خادم Lyrion Music Server 9.2.0 يكشف عن ثغرة في عرض المجلدات التعسفية من خلال نقاط نهاية غير مصرح بها، مما يسمح للمهاجمين البعيدين بتعداد محتويات نظام الملفات. معامل readdirectory يفتقر إلى التحقق من صحة المسار والتحكم في المصادقة في التكوينات الافتراضية.
Upgrade Lyrion Music Server to version 9.2.1 or later. Implement network-level access controls restricting access to TCP port 9090 and /jsonrpc.js endpoint to trusted networks. Enable authentication in server configuration. Implement input validation and path traversal protections. Monitor filesystem access logs for suspicious directory enumeration patterns.
قم بترقية خادم Lyrion Music Server إلى الإصدار 9.2.1 أو أحدث. تطبيق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى منفذ TCP 9090 ونقطة نهاية /jsonrpc.js للشبكات الموثوقة. تفعيل المصادقة في إعدادات الخادم. تطبيق التحقق من صحة المدخلات وحماية اجتياز المسار. مراقبة سجلات الوصول إلى نظام الملفات للكشف عن أنماط تعداد المجلدات المريبة.