CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-49128

High
Published: Translated: NVD NIST

Summary

Demon muzyczny (MPD) przed wersją 0.24.11 zawiera podatność na przejście ścieżki w LocalStorage::MapFSOrThrow i LocalStorage::MapUTF8 wtyczki lokalnego magazynu. Problem polega na tym, że ścieżka na dysku jest tworzona przez połączenie katalogu magazynu z URI dostarczonym przez użytkownika bez kanonizacji, co pozwala na przetrwanie segmentów '..' w rozwiązanej ścieżce.

Risk Assessment

Nieautoryzowany atakujący może wykorzystać tę lukę, aby enumerować nazwy, rozmiary i czasy modyfikacji dowolnych katalogów, które są dostępne dla procesu MPD, co może prowadzić do ujawnienia wrażliwych informacji. Dodatkowo, atakujący może odczytać pliki graficzne z dowolnego katalogu poza skonfigurowanym katalogiem muzycznym.

Recommendation

Zaleca się aktualizację MPD do wersji 0.24.11 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do poleceń, które mogą być wykorzystane do eksploitacji tej luki.

Original NVD description (English source)

Music Player Daemon (MPD) before version 0.24.11 contains a path traversal vulnerability in LocalStorage::MapFSOrThrow and LocalStorage::MapUTF8 within the local storage plugin, where the on-disk path is constructed by joining the storage root with a user-supplied URI as plain strings without canonicalization, allowing '..' segments to survive into the resolved path and be flattened by the kernel at openat() time. An unauthenticated attacker can exploit this flaw using the listfiles command to enumerate names, sizes, and modification times of arbitrary directories readable by the MPD process, and the albumart command to read image files in any attacker-chosen directory outside the configured music_directory.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS