CVE-2024-32876 in NewPipe Appالمعلومات

الملخص

بحسب VulDB • 27/06/2026

NewPipe هو تطبيق أندرويد لبث الفيديو مكتوب بلغة جافا. يدعم التطبيق تصدير واستيراد النسخ الاحتياطية، كوسيلة للسماح للمستخدمين بنقل بياناتهم إلى جهاز جديد بسهولة. ومع ذلك، في الإصدارات من 0.13.4 حتى 0.26.1، كان استيراد ملف نسخة احتياطية من مصدر غير موثوق قد يؤدي إلى تنفيذ تعليمات برمجية تعسفية (Arbitrary Code Execution). ويعود السبب في ذلك إلى أن النسخ الاحتياطية يتم تسلسلها/فك تسلسلها باستخدام بروتوكول تدفق التسلسل الكائن لجافا (Java's Object Serialization Stream Protocol)، والذي يمكن أن يسمح بإنشاء أي فئة داخل التطبيق، ما لم تتم تقييده بشكل صحيح.

لاستغلال هذا الثغرة الأمنية، يحتاج المهاجم إلى بناء ملف نسخة احتياطية يحتوي على استغلال للثغرة، ثم إقناع المستخدم باستيراده. أثناء عملية الاستيراد، سيتم تنفيذ التعليمات البرمجية الخبيثة، مما قد يتسبب في توقف التطبيق عن العمل (Crash)، أو سرقة بيانات المستخدم من تطبيق NewPipe، أو القيام بإجراءات ضارة عبر واجهات برمجة تطبيقات أندرويد (Android APIs)، والمحاولة الهروب من بيئة تشغيل جافا/المنعزل (JVM/Sandbox) لأندرويد من خلال استغلال ثغرات في نظام التشغيل أندرويد.

يمكن أن يحدث الهجوم فقط إذا قام المستخدم باستيراد ملف نسخة احتياطية خبيث، لذا يحتاج المهاجم إلى خداع المستخدم لاستيراد ملف نسخة احتياطية من مصدر يمكنه التحكم فيه. يمكن أن تكون تفاصيل التنفيذ الخاصة بملف النسخة الاحتياطية الخبيثة مستقلة عن المستخدم المستهدف أو الجهاز الذي يتم تشغيل الاستغلال عليه، ولا تتطلب امتيازات إضافية.

جميع إصدارات NewPipe من 0.13.4 إلى 0.26.1 معرضة للثغرة الأمنية. تقوم نسخة NewPipe 0.27.0 بإصلاح المشكلة من خلال القيام بما يلي: تقييد الفئات التي يمكن فك تسلسلها عند استدعاء بروتوكول تدفق التسلسل الكائن لجافا، وذلك عن طريق إضافة قائمة بيضاء (Whitelist) تحتوي فقط على فئات غير ضارة مخصصة للبيانات ولا يمكن أن تؤدي إلى تنفيذ تعليمات برمجية تعسفية؛ وإهمال النسخ الاحتياطية التي تم تسلسلها باستخدام بروتوكول تدفق التسلسل الكائن لجافا؛ واستخدام تسلسل JSON لجميع النسخ الاحتياطية الجديدة (مع تضمين ملف بديل مسجل باستخدام بروتوكول تدفق التسلسل الكائن لجافا داخل ملف zip للنسخة الاحتياطية للتوافق مع الإصدارات السابقة)؛ وإظهار تحذير للمستخدم عند محاولة استيراد نسخة احتياطية حيث يكون وضع التسلسل المتاح الوحيد هو بروتوكول تدفق التسلسل الكائن لجافا (مع ملاحظة أن هذا الوضع للتسلسل سيتم إزالته تماماً في المستقبل).

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub, Inc.

حجز

19/04/2024

إفشاء

24/04/2024

الاعتدال

تمت الموافقة

إدخال

VDB-261961

EPSS

0.00324

KEV

لا

النشاطات

منخفض جدًا

القطاع

Police, Homeoffice

المصادر

Do you know our Splunk app?

Download it now for free!