CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-49130

Medium
Published: Translated: NVD NIST

Summary

Music Player Daemon (MPD) przed wersją 0.24.11 zawiera podatność na wstrzykiwanie CRLF w funkcji xspf_char_data wtyczki XSPF playlist. Umożliwia to atakującym osadzanie dosłownych bajtów CR/LF w polach URI poprzez dostarczenie złośliwej playlisty XSPF z numerycznymi odniesieniami do znaków XML.

Risk Assessment

Atakujący mogą wstrzykiwać fałszywe linie klucz-wartość do odpowiedzi protokołu MPD, co może prowadzić do nieautoryzowanego dostępu do informacji o playlistach oraz aktualnych utworach. To stwarza ryzyko manipulacji danymi i potencjalnych ataków na system.

Recommendation

Zaleca się aktualizację Music Player Daemon do wersji 0.24.11 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i weryfikować playlisty XSPF przed ich użyciem.

Original NVD description (English source)

Music Player Daemon (MPD) before version 0.24.11 contains a CRLF injection vulnerability in the xspf_char_data function within the XSPF playlist plugin that allows attackers to embed literal CR/LF bytes in URI fields by supplying a malicious XSPF playlist with XML numeric character references. Attackers can inject forged key-value lines through the location field into MPD protocol responses including playlistinfo, currentsong, and listplaylist outputs, as well as the state file writer, by exploiting Expat's decoding of numeric character references prior to the character data callback.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS