CVE-2026-49128 in MPDinfo

Zusammenfassung

von VulDB • 30.05.2026

Music Player Daemon (MPD) vor Version 0.24.11 enthält eine Path Traversal-Schwachstelle in LocalStorage::MapFSOrThrow und LocalStorage::MapUTF8 innerhalb des Local-Storage-Plugins, bei der der Pfad auf der Festplatte durch das einfache Anhängen des Speicherstammverzeichnisses an eine vom Benutzer bereitgestellte URI als Plain-Strings ohne Kanonisierung erstellt wird. Dadurch können '..'-Segmente in den aufgelösten Pfad gelangen und zur Laufzeit von openat() vom Kernel geglättet werden. Ein nicht authentifizierter Angreifer kann diese Schwachstelle über den Befehl listfiles ausnutzen, um Namen, Größen und Änderungszeiten beliebiger Verzeichnisse aufzulisten, die vom MPD-Prozess lesbar sind, sowie den Befehl albumart, um Bilddateien in jedem vom Angreifer gewählten Verzeichnis außerhalb des konfigurierten music_directory zu lesen.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

VulnCheck

Reservieren

27.05.2026

Veröffentlichung

28.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366886

CPE

bereit

EPSS

0.00148

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-49128
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-49128
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-49128/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!