CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-49127

High
Published: Translated: NVD NIST

Summary

Demon muzyczny (MPD) przed wersją 0.24.11 zawiera podatność na przepełnienie bufora stosu w funkcji pcm_unpack_24be, co pozwala nieautoryzowanym atakującym na uszkodzenie pamięci stosu. Atakujący mogą wywołać dwa polecenia MPD, które prowadzą do nadpisania pamięci poza granicami bufora.

Risk Assessment

Podatność ta może prowadzić do zakończenia działania demona lub potencjalnego wykonania złośliwego kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Organizacje mogą być narażone na ataki, które mogą prowadzić do utraty danych lub nieautoryzowanego dostępu.

Recommendation

Zaleca się aktualizację do wersji MPD 0.24.11 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do serwera MPD, aby zminimalizować ryzyko ataków.

Original NVD description (English source)

Music Player Daemon (MPD) before version 0.24.11 contains a stack buffer overflow vulnerability in the pcm_unpack_24be function in src/pcm/Pack.cxx that allows unauthenticated attackers to corrupt stack memory by triggering an off-by-one write in the PCM decoder plugin. Attackers can issue two MPD commands referencing a malicious HTTP audio source to cause the unpack loop to write 1366 entries into a 1365-entry buffer, overwriting four bytes past the array boundary with three attacker-controlled bytes from an HTTP response body, resulting in daemon termination or potential code execution.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS