Litetex

**Nome do software vulnerável e versões afetadas** Versões do NewPipe de 0.13.4 a 0.26.1 **Descrição** O problema decorre da importação de backups no NewPipe, que utiliza o Protocolo de Fluxo de Serialização de Objetos do Java. Isso pode levar à execução de código arbitrário caso um usuário importe um arquivo de backup malicioso proveniente de uma fonte não confiável. Um invasor precisaria persuadir um usuário a importar tal arquivo, permitindo a execução de código malicioso, o que poderia causar a falha do aplicativo, roubar dados do usuário ou realizar ações por meio das APIs do Android. O ataque não requer privilégios adicionais e pode ser independente do usuário ou do dispositivo. **Recomendações** Para resolver o problema, atualize para a versão 0.27.0 do NewPipe, que restringe as classes que podem ser desserializadas, torna obsoletas as cópias de segurança serializadas com o Protocolo de Fluxo de Serialização de Objetos do Java e utiliza serialização JSON para novas cópias de segurança. Como solução temporária, considere evitar a importação de cópias de segurança de fontes não confiáveis para minimizar o risco de exploração.