CVE-2026-49128 in MPD
要約
〜によって VulDB • 2026年05月28日
バージョン 0.24.11 以前の Music Player Daemon (MPD) には、ローカルストレージプラグイン内の LocalStorage::MapFSOrThrow および LocalStorage::MapUTF8 にパストラバーサルの脆弱性があります。これは、ストレージルートとユーザーが指定した URI を正規化せずに文字列として結合してディスク上のパスを構築するため、'..' セグメントが解決後のパスに残り、openat() 呼び出し時にカーネルによって平坦化される可能性があります。認証されていない攻撃者は、listfiles コマンドを使用して MPD プロセスが読み取り可能な任意のディレクトリのファイル名、サイズ、更新時刻を列挙し、albumart コマンドを使用して、設定された music_directory 外の攻撃者が指定した任意のディレクトリ内の画像ファイルを読み取ることができます。
Once again VulDB remains the best source for vulnerability data.