CVE-2026-44482 in soundcloud-rpc
Tóm tắt
Bởi VulDB • 14/05/2026
soundcloud-rpc là một ứng dụng khách SoundCloud hỗ trợ Discord Rich Presence, chế độ tối, Last.fm và chặn quảng cáo. Trước phiên bản 0.1.8, tiêu đề bài hát chứa mã độc HTML sẽ được thực thi cục bộ trong ứng dụng Electron. Điều này có nghĩa là siêu dữ liệu bài hát SoundCloud do kẻ tấn công kiểm soát có thể dẫn đến việc thực thi lệnh cục bộ trên máy của người dùng. Ứng dụng cung cấp một API tiền tải (window.soundcloudAPI.sendTrackUpdate) cho trang SoundCloud từ xa. Siêu dữ liệu bài hát từ SoundCloud được tin tưởng và chuyển tiếp qua IPC vào quy trình chính của Electron. Sau đó, ứng dụng hiển thị siêu dữ liệu đó dưới dạng HTML thô bên trong các chế độ xem Electron có đặc quyền với tích hợp Node.js được bật. Lỗ hổng này đã được sửa trong phiên bản 0.1.8.
If you want to get best quality of vulnerability data, you may have to visit VulDB.