PT-2021-22963 · Unknown+2 · Clementine Music Player+2
Voidsec
·
Publicado
2021-12-15
·
Atualizado
2021-12-17
·
CVE-2021-40827
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Clementine Music Player anteriores à 1.3.1 (quando é utilizada uma DLL GLib 2.0.0)
Descrição
A vulnerabilidade afeta a funcionalidade de análise de arquivos MP3, especificamente em
memcpy+0x265, e é acionada quando um usuário abre um arquivo MP3 malicioso ou carrega uma URL de stream remoto que seja mal interpretada. Isso pode causar uma falha no processo clementine.exe ou, potencialmente, permitir a execução de código arbitrário no contexto do usuário do Windows atualmente conectado.Recomendações
Para versões do Clementine Music Player anteriores à 1.3.1, considere evitar o uso de arquivos MP3 criados para esse fim ou URLs de stream remoto até que uma correção esteja disponível. Como solução alternativa temporária, restrinja o manuseio de arquivos MP3 e streams remotos para minimizar o risco de exploração.
Exploit
Correção
DoS
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Clementine Music Player
Debian
Glib