Owncast是一个开源、自托管、分散式、单用户直播视频流和聊天服务器。Owncast应用程序在URL /api/admin处暴露了一个管理员API。该API的emoji/delete端点允许管理员删除自定义表情符号,这些表情符号保存在磁盘上。参数名称取自JSON请求,直接附加到指向要删除的表情符号的文件路径。通过使用路径遍历序列(../),具有管理权限的攻击者可以利用这个端点删除系统中的任意文件,而不在表情符号目录之内。这个漏洞在0.1.3中得到修复。
建议您更新当前系统或软件至最新版,完成漏洞的修复。