漏洞概述 漏洞名称: Lightweight Music Server (LMS) 3.76.0 (metadata) Stored XSS 漏洞ID: ZSL-2026-5987 CVE编号: CVE-2026-48559 发布日期: 2026年5月31日 发现者: Gjoko Krstic 描述: LMS(轻量级音乐服务器)是一个专注于低内存占用的C++项目,具有内置的用户管理和推荐引擎。该漏洞存在于LMS存储媒体文件元数据标签(如GENRE、ARTIST和ALBUM)的方式中。这些标签在文件中被原样存储,并在网页界面中渲染时未进行HTML编码,导致存储型跨站脚本攻击(Stored XSS)。攻击者可以通过将恶意标签插入受害者的音乐库中,在下一次库扫描时保存其有效载荷,并在用户查看该曲目信息或播放文件时自动执行。 影响范围 受影响版本: LMS 3.76.0 测试环境: GNU/Linux (ARM64), nginx 修复方案 目前页面中未提供具体的修复方案。建议用户关注官方发布的更新或补丁,以解决此安全问题。 POC代码 参考链接 1. https://www.cve.org/CVERecord?id=CVE-2026-48559 2. https://www.ainlock.com/advisories/lightweight-music-server-stored-xss-via-media-file-metadata-tags 时间线 2026年5月27日: 发现漏洞 2026年5月31日: 在Github上提交新工单(#844) 2026年5月31日: 发布公共安全公告 致谢 漏洞发现者: Gjoko Krstic 版本历史 2026年5月31日: 初始发布 2026年6月1日: 添加参考链接[1]和[2]