CVE-2026-42605 : RCE AzuraCast path traversal upload (8.8)

Les faits

La vulnérabilité CVE-2026-42605, publiée le 9 mai 2026, frappe AzuraCast, une suite open source self-hosted très largement utilisée pour gérer des stations de radio web, des podcasts et des flux de streaming audio. Avec un score CVSS 3.1 de 8.8 (vecteur AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H), la faille combine une traversée de chemin (CWE-22) et une exécution de code à distance, exploitable par tout utilisateur disposant de permissions de gestion des médias.

Le défaut réside dans l'endpoint d'upload de médias basé sur la bibliothèque Flow.js : POST /api/station/{station_id}/files/upload. Selon l'analyse publiée par TheHackerWire et confirmée par le mainteneur, le paramètre de requête currentDirectory — qui indique le sous-répertoire de destination pour le fichier uploadé — ne subit aucune validation contre les séquences de traversée de type ../. Cette absence de filtrage permet à un attaquant authentifié de cibler une destination arbitraire sur le système de fichiers du serveur.

La chaîne d'exploitation technique est précise. Côté code, la méthode LocalFilesystem::upload() utilise getLocalPath() pour construire le chemin de destination en concaténant simplement les préfixes sans normalisation, ce qui contourne le WhitespacePathNormalizer prévu pour assainir les chemins. L'appel système copy() de PHP résout ensuite les séquences ../ au niveau de l'OS, autorisant l'écriture de fichiers en dehors du dossier media root. En pratique, un attaquant peut écrire un webshell PHP directement dans la racine web servie par Nginx, puis exécuter du code arbitraire en l'appelant via le navigateur.

La chronologie de la découverte établie par DailyCVE et corroborée par TheHackerWire montre que le défaut a été signalé en avril 2026 par un chercheur externe via le canal sécurité du projet. Le projet AzuraCast a publié la version 0.23.6 le 9 mai 2026, contenant la correction qui ajoute une normalisation stricte du paramètre currentDirectory et un check explicite de confinement dans le répertoire racine du stockage médias.

Aucun PoC public n'a été déposé sur les dépôts d'exploits à la date de publication, mais la nature du défaut — un upload classique avec ../../ dans un paramètre — rend l'écriture d'un exploit triviale dès lors que le diff de patch est connu. La fenêtre d'exposition risque d'être courte avant l'apparition d'exploits massifs, en particulier sur les plateformes de pentest automatisé et les scanners de surface d'attaque.

Un point particulièrement préoccupant concerne le contrôle d'accès en amont : la route /api/station/{station_id}/files/upload exige uniquement la permission StationPermissions::Media. Cette permission est accordée par défaut aux rôles DJ et station manager, bien plus largement distribués que le rôle administrateur global. Dans la pratique d'une radio communautaire ou d'une plateforme multi-stations, des dizaines voire centaines de comptes peuvent disposer de cette permission, ce qui élargit considérablement le périmètre d'utilisateurs malveillants potentiels — notamment en cas de credential stuffing ou de compromission d'un seul compte DJ.

Aucune exploitation in-the-wild n'est confirmée à la publication par le mainteneur AzuraCast, mais le projet recommande explicitement de considérer toute installation non patchée comme à risque immédiat, en raison de la trivialité technique et de la large base utilisateur. AzuraCast revendique plusieurs dizaines de milliers d'installations actives selon les statistiques de téléchargement Docker Hub.

Le contexte d'usage rend AzuraCast particulièrement vulnérable aux compromissions opportunistes : la suite est souvent déployée par des associations, des radios étudiantes, des micro-entrepreneurs ou des streamers individuels disposant de peu de ressources de sécurité, sur des VPS ouverts à Internet, et avec une politique de gestion des comptes DJ relativement permissive. Le scénario typique d'attaque consiste à phisher ou bruteforce un compte DJ, exploiter CVE-2026-42605 pour déposer un webshell, puis pivoter vers des fonctions de proxy et de minage de cryptomonnaies.

Impact et exposition

Les organisations exposées sont l'ensemble des installations AzuraCast antérieures à 0.23.6 dont l'interface de gestion est accessible à au moins un compte DJ ou gestionnaire de station. Le périmètre fonctionnel ne se limite pas à l'admin : tout compte avec permission Media — y compris des comptes invités ou délégués à des contributeurs externes — peut déclencher l'exploit.

La surface d'attaque est large : AzuraCast étant un projet self-hosted populaire, des dizaines de milliers d'instances sont accessibles publiquement selon les recherches Shodan et Censys. Beaucoup tournent en mode Docker sans isolation forte du conteneur web, ce qui maximise les conséquences d'un webshell PHP — accès aux secrets de configuration, aux clés Liquidsoap, aux credentials des stations, voire pivotement vers les bases de données MariaDB et Redis exposées sur le réseau interne du compose.

Aucune exploitation in-the-wild n'est confirmée publiquement à la date de publication, mais la trivialité de l'exploit et la nature exposée de la majorité des déploiements font craindre une vague d'attaques opportunistes dans les jours qui suivent la divulgation. Les attaquants ciblant les radios web pour héberger des proxies, des miners ou des panels de phishing utilisent régulièrement ce type de défaut comme point d'entrée.

L'élément aggravant tient à la nature des comptes DJ : il s'agit fréquemment de comptes partagés, peu robustes, avec des mots de passe faibles ou réutilisés. Une simple campagne de credential stuffing peut suffire à obtenir l'accès initial nécessaire pour déclencher l'exploit RCE — sans même cibler les administrateurs, beaucoup mieux protégés.

Recommandations immédiates

• Mettre à jour AzuraCast vers la version 0.23.6 ou supérieure (advisory : AzuraCast Security Advisory CVE-2026-42605 publié le 9 mai 2026).
• Auditer la liste des comptes disposant de la permission StationPermissions::Media et révoquer cette permission à tous les comptes qui ne l'utilisent pas activement.
• Forcer la rotation des mots de passe de tous les comptes DJ et station manager, et activer le 2FA pour ces rôles.
• Inspecter le contenu de la racine web (typiquement /var/azuracast/www_tmp et /var/azuracast/www) à la recherche de fichiers PHP inattendus déposés au cours des 14 derniers jours.
• Analyser les logs Nginx pour repérer des requêtes POST vers /api/station/*/files/upload contenant des séquences ../ dans le corps de la requête multipart.
• Si une compromission est suspectée : isoler l'instance, sauvegarder les journaux, reconstruire le conteneur AzuraCast à partir d'une image saine, restaurer les médias depuis une sauvegarde antérieure à la fenêtre d'exposition.