CVE-2026-49130 in MPD
요약
\~에 의해 VulDB • 2026. 05. 28.
0.24.11 이전 버전의 Music Player Daemon(MPD)에는 XSPF 플레이리스트 플러그인의 xspf_char_data 함수에서 CRLF 주입 취약점이 존재합니다. 공격자는 XML 숫자 문자 참조가 포함된 악성 XSPF 플레이리스트를 제공하여 URI 필드에 문자 그대로의 CR/LF 바이트를 삽입할 수 있습니다. 공격자는 Expat이 문자 데이터 콜백 전에 숫자 문자 참조를 디코딩하는 점을 악용하여, location 필드를 통해 MPD 프로토콜 응답(playlistinfo, currentsong, listplaylist 출력 포함) 및 상태 파일 작성기에 위조된 키-값 라인을 주입할 수 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.