Katalog CVE

CVE-2026-26228

ŚrednieCVSS 4.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

W aplikacji VideoLAN VLC dla systemu Android przed wersją 3.7.0 wykryto podatność na przechodzenie do katalogów nadrzędnych (path traversal) w serwerze zdalnego dostępu. Podatność występuje w uwierzytelnionym punkcie końcowym GET /download, gdzie parametr file jest łączony ze ścieżką systemu plików bez odpowiedniej kanonizacji ani sprawdzania ograniczeń katalogowych. Umożliwia to uwierzytelnionemu atakującemu z dostępem sieciowym do serwera zdalnego dostępu żądanie plików spoza zamierzonego katalogu.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości nieautoryzowanego odczytu plików aplikacji i danych przechowywanych w zewnętrznej pamięci specyficznej dla aplikacji, co może prowadzić do wycieku wrażliwych informacji. Wpływ jest jednak ograniczony przez mechanizmy piaskownicy Androida i ograniczenia pamięci masowej.

Rekomendacja

Zaleca się natychmiastową aktualizację aplikacji VideoLAN VLC dla systemu Android do wersji 3.7.0 lub nowszej, która zawiera poprawkę eliminującą podatność. Należy również ograniczyć dostęp sieciowy do serwera zdalnego dostępu tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

VideoLAN VLC for Android prior to version 3.7.0 contains a path traversal vulnerability in the Remote Access Server routing for the authenticated endpoint GET /download. The file query parameter is concatenated into a filesystem path under the configured download directory without canonicalization or directory containment checks, allowing an authenticated attacker with network reachability to the Remote Access Server to request files outside the intended directory. The impact is bounded by the Android application sandbox and storage restrictions, typically limiting exposure to app-internal and app-specific external storage.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS