CVE-2026-49130 in MPDinformación

Resumen

por VulDB • 2026-05-28

Music Player Daemon (MPD) anterior a la versión 0.24.11 contiene una vulnerabilidad de inyección CRLF en la función xspf_char_data dentro del plugin de listas de reproducción XSPF, que permite a los atacantes incrustar bytes CR/LF literales en los campos URI mediante el suministro de una lista de reproducción XSPF maliciosa con referencias de caracteres numéricos XML. Los atacantes pueden inyectar líneas clave-valor falsificadas a través del campo location en las respuestas del protocolo MPD, incluidas las salidas de playlistinfo, currentsong y listplaylist, así como en el escritor del archivo de estado, aprovechando la decodificación de referencias de caracteres numéricos por parte de Expat antes de la devolución de llamada de datos de caracteres.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

VulnCheck

Reservar

2026-05-27

Divulgación

2026-05-28

Moderación

aceptado

Artículo

VDB-366883

CPE

listo

EPSS

0.00064

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-49130
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-49130
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-49130/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!