CVE-2026-49129 in MPDthông tin

Tóm tắt

Bởi VulDB • 28/05/2026

Music Player Daemon (MPD) trước phiên bản 0.24.11 chứa một lỗ hổng giả mạo yêu cầu phía máy chủ (Server-Side Request Forgery) trong CurlInputPlugin, nơi CURLOPT_FOLLOWLOCATION được đặt mà không có CURLOPT_REDIR_PROTOCOLS_STR, cho phép các kẻ tấn công chưa xác thực vượt qua hạn chế lược đồ http/https bằng cách khiến máy chủ HTTP độc hại chuyển hướng đến các giao thức không phải HTTP như gopher, ftp, sftp, ldap, dict, rtmp hoặc rtsp. Kẻ tấn công có thể kích hoạt lỗ hổng này thông qua các lệnh MPD khởi tạo việc truy xuất URL, bao gồm add, readcomments, albumart, readpicture hoặc load, để tương tác với các dịch vụ mạng nội bộ hoặc bị hạn chế trên các hệ thống chạy libcurl các phiên bản trước 7.85.0.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

VulnCheck

Đặt trước

27/05/2026

Tiết lộ

28/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-366882

CPE

sẵn sàng

CWE

CWE-918 (Đã xác nhận)

CVSS

5.8 (CNA)

EPSS

0.00059

KEV

không

Các hoạt động

rất thấp

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-49129
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-49129
CVE Details	https://www.cvedetails.com/cve/CVE-2026-49129/

◂ Trước Tổng Quan Tiếp theo ▸

Want to know what is going to be exploited?

We predict KEV entries!