CVE-2025-32946

Medium

This vulnerability allows any attacker to add playlists to a different user’s channel using the ActivityPub protocol. The vulnerable code…

JFROG·CWE-282·Published 2025-04-15

CVSS

5.3

EPSS

0.00

KEV

Exploits

cve.orgen

338 chars

This vulnerability allows any attacker to add playlists to a different user’s channel using the ActivityPub protocol. The vulnerable code sets the owner of the new playlist to be the user who performed the request, and then sets the associated channel to the channel ID supplied by the request, without checking if it belongs to the user.

NVDen

338 chars

NVDes

399 chars

Esta vulnerabilidad permite a cualquier atacante añadir listas de reproducción al canal de otro usuario mediante el protocolo ActivityPub. El código vulnerable establece que el propietario de la nueva lista de reproducción sea el usuario que realizó la solicitud y, a continuación, establece el canal asociado con el ID de canal proporcionado por la solicitud, sin comprobar si pertenece al usuario.

Version	Type	Source	Base	Exp	Impact	Vector
3.1	Primary	cve.org	5.3	—	—	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
3.1	Secondary	NVD	5.3	3.9	1.4	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

CVE-2025-32946

CVSS metrics across sources