CVE-2026-44482 in soundcloud-rpcinformation

Résumé

par VulDB • 24/05/2026

soundcloud-rpc est un client SoundCloud prenant en charge Discord Rich Presence, le mode sombre, Last.fm et le blocage des publicités. Avant la version 0.1.8, un titre de piste contenant une charge utile HTML était exécuté localement dans l'application Electron. Cela signifie que des métadonnées de piste SoundCloud contrôlées par un attaquant peuvent entraîner l'exécution de commandes locales sur la machine de l'utilisateur. L'application expose une API de préchargement (window.soundcloudAPI.sendTrackUpdate) à la page SoundCloud distante. Les métadonnées de la piste provenant de SoundCloud sont considérées comme fiables et transmises via IPC vers le processus principal d'Electron. L'application affiche ensuite ces métadonnées en tant qu'HTML brut dans des vues Electron privilégiées disposant de l'intégration Node.js activée. Cette vulnérabilité est corrigée dans la version 0.1.8.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

06/05/2026

Divulgation

14/05/2026

Modérer

accepté

Entrée

VDB-363905

CPE

prêt

EPSS

0.00127

KEV

non

Activités

très faible

Secteur

Telecommunication, Transportation, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44482
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44482
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44482/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!