CVE-2024-32876

Versões do NewPipe de 0.13.4 a 0.26.1

O problema decorre da importação de backups no NewPipe, que utiliza o Protocolo de Fluxo de Serialização de Objetos do Java. Isso pode levar à execução de código arbitrário caso um usuário importe um arquivo de backup malicioso proveniente de uma fonte não confiável. Um invasor precisaria persuadir um usuário a importar tal arquivo, permitindo a execução de código malicioso, o que poderia causar a falha do aplicativo, roubar dados do usuário ou realizar ações por meio das APIs do Android. O ataque não requer privilégios adicionais e pode ser independente do usuário ou do dispositivo.

Para resolver o problema, atualize para a versão 0.27.0 do NewPipe, que restringe as classes que podem ser desserializadas, torna obsoletas as cópias de segurança serializadas com o Protocolo de Fluxo de Serialização de Objetos do Java e utiliza serialização JSON para novas cópias de segurança. Como solução temporária, considere evitar a importação de cópias de segurança de fontes não confiáveis para minimizar o risco de exploração.