Daniele Berardinelli

**Nome do Software Vulnerável e Versões Afetadas** Music Player Daemon (MPD) versões anteriores a 0.24.11 **Descrição** Um estouro de buffer de pilha (stack buffer overflow) existe na função `pcm unpack 24be()` em `src/pcm/Pack.cxx`. Este problema permite que atacantes não autenticados corrompam a memória da pilha ao disparar uma gravação off-by-one no plugin decodificador PCM. Ao emitir dois comandos MPD que referenciam uma fonte de áudio HTTP maliciosa, um atacante pode fazer com que o loop de descompactação grave 1366 entradas em um buffer de 1365 entradas. Esse processo sobrescreve quatro bytes além do limite da matriz com três bytes controlados pelo atacante provenientes de um corpo de resposta HTTP, o que pode resultar na terminação do daemon ou potencial execução de código. **Recomendações** Atualize para a versão 0.24.11 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Music Player Daemon (MPD) versões anteriores a 0.24.11 **Descrição** Um problema de path traversal existe no plugin de armazenamento local nas funções `LocalStorage::MapFSOrThrow()` e `LocalStorage::MapUTF8()`. A falha ocorre porque o caminho no disco é criado juntando a raiz do armazenamento com uma URI fornecida pelo usuário como strings simples sem canonicalização, permitindo que segmentos '..' permaneçam no caminho resolvido. Um invasor não autenticado pode usar o comando 'listfiles' para enumerar nomes, tamanhos e tempos de modificação de diretórios arbitrários legíveis pelo processo MPD, ou o comando 'albumart' para ler arquivos de imagem em qualquer diretório fora do `music directory` configurado. **Recomendações** Atualize para a versão 0.24.11 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Music Player Daemon (MPD) versões anteriores a 0.24.11 **Descrição** Um problema de server-side request forgery (SSRF) existe no CurlInputPlugin. A opção `CURLOPT FOLLOWLOCATION` está ativada sem a especificação de `CURLOPT REDIR PROTOCOLS STR`, o que permite que atacantes não autenticados ignorem as restrições de esquema http/https. Ao utilizar um servidor HTTP malicioso para redirecionar solicitações para protocolos que não sejam HTTP — como gopher, ftp, sftp, ldap, dict, rtmp ou rtsp — os atacantes podem interagir com serviços de rede internos ou restritos. Isso é possível em sistemas que utilizam versões do libcurl anteriores a 7.85.0. O problema pode ser acionado por meio de comandos do MPD que iniciam buscas de URL, especificamente `add`, `readcomments`, `albumart`, `readpicture` ou `load`. **Recomendações** Atualize para a versão 0.24.11 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Music Player Daemon (MPD) versões anteriores a 0.24.11 **Descrição** Um problema de injeção de CRLF existe na função `xspf char data()` dentro do plugin de playlist XSPF. Isso ocorre porque o Expat decodifica referências de caracteres numéricos XML antes do callback de dados de caracteres, permitindo que atacantes incorporem bytes literais de Carriage Return (CR) e Line Feed (LF) em campos de URI ao fornecer uma playlist XSPF maliciosa. Consequentemente, linhas de chave-valor forjadas podem ser injetadas através do campo `location` no escritor de arquivo de estado e nas respostas do protocolo MPD, especificamente nas saídas 'playlistinfo', 'currentsong' e 'listplaylist'. **Recomendações** Atualize para a versão 0.24.11 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) **Descrição** Um problema de injeção de comando de SO existe no binário 'internet.cgi'. Atacantes remotos não autenticados podem executar comandos de shell arbitrários injetando entradas maliciosas no parâmetro POST `gateway`. Isso ocorre devido à concatenação de parâmetros não sanitizados na função `set add routing()`, onde os comandos são executados via `popen()` e a saída parcial é refletida na resposta HTTP. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** WDR201A WiFi Extender HW V2.1, FW LFMZX28040922V1.02 **Descrição** Um estouro de buffer baseado em pilha existe nos binários 'firewall.cgi' e 'makeRequest.cgi'. Atacantes não autenticados podem sobrescrever o endereço de retorno salvo enviando uma requisição POST com um cabeçalho `Content-Length` superior a 512 bytes. Isso é causado por uma validação de comprimento insuficiente na função `fgets()`, o que pode levar à execução de código arbitrário por meio de técnicas de return-oriented programming ou return-to-libc. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) **Descrição** Um problema de injeção de comando de SO existe no binário 'wireless.cgi'. Atacantes remotos não autenticados podem executar comandos de shell arbitrários injetando entradas maliciosas nos parâmetros POST `sz11gChannel` ou `PIN`. Isso é possível devido ao tratamento não sanitizado de parâmetros dentro das funções `set wifi basic()` e `set wifi do wps()`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.