CVE-2026-44482

Nome do Software Vulnerável e Versões Afetadas soundcloud-rpc versões anteriores a 0.1.8

Descrição Existe um problema onde títulos de faixas contendo payloads HTML podem ser executados localmente no aplicativo Electron. Metadados de faixas do SoundCloud controlados por um invasor podem levar à execução de comandos locais na máquina do usuário. O aplicativo expõe uma API de pré-carregamento 'window.soundcloudAPI.sendTrackUpdate' para a página remota do SoundCloud, e os metadados da faixa são confiados e encaminhados via Inter-Process Communication (IPC) para o processo principal do Electron. Esses metadados são posteriormente renderizados como HTML bruto dentro de visualizações privilegiadas do Electron que possuem a integração com Node.js habilitada.

Recomendações Atualize para a versão 0.1.8.