PT-2021-7562 · Unknown+1 · Clementine Music Player+1
Voidsec
·
Publicado
2021-09-09
·
Atualizado
2022-07-12
·
CVE-2021-40826
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Clementine Music Player anteriores à 1.3.2
Descrição
O problema está relacionado a uma violação de acesso de gravação no modo de usuário na funcionalidade de análise de arquivos MP3. Ele é desencadeado quando um usuário abre um arquivo MP3 malicioso ou carrega uma URL de stream remoto que não é processada corretamente pelo Clementine. Isso poderia permitir que invasores causassem uma falha no processo clementine.exe ou executassem código arbitrário no contexto do usuário do Windows atualmente conectado. A vulnerabilidade também está associada a um erro de desreferência de ponteiro ao carregar arquivos MP3, o que pode levar a uma negação de serviço ou à execução de código arbitrário.
Recomendações
Para versões do Clementine Music Player anteriores à 1.3.2, atualize para uma versão posterior à 1.3.1 para resolver o problema. Como solução temporária, considere evitar o uso de arquivos MP3 maliciosos ou URLs de streaming remoto que possam acionar a vulnerabilidade. Restrinja o acesso à funcionalidade de análise de arquivos MP3 para minimizar o risco de exploração.
Exploit
Correção
DoS
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Clementine Music Player
Debian