CVE-2026-26228 in VLCinfo

Zusammenfassung

von VulDB • 04.06.2026

VideoLAN VLC für Android vor Version 3.7.0 enthält eine Path-Traversal-Schwachstelle im Routing des Remote Access Server für den authentifizierten Endpunkt GET /download. Der Dateiabfrageparameter (file query parameter) wird ohne Kanonikalisierung oder Prüfung auf Verzeichniseinschränkungen in einen Dateisystempfad unter dem konfigurierten Download-Verzeichnis eingefügt, wodurch ein authentifizierter Angreifer mit Netzwerkzugriff zum Remote Access Server Dateien außerhalb des beabsichtigten Verzeichnisses anfordern kann. Die Auswirkungen sind durch die Android-Anwendungssandbox und Speicherbeschränkungen begrenzt, was die Exposition typischerweise auf appspezifischen internen Speicher sowie externen Speicher beschränkt, der spezifisch für die App ist.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

VulnCheck

Reservieren

11.02.2026

Veröffentlichung

26.02.2026

Moderieren

akzeptiert

Eintrag

VDB-348000

CPE

bereit

EPSS

0.00061

KEV

nein

Aktivitäten

very low

Sektor

Police, Pharma, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-26228
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-26228
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-26228/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!