CVE-2026-44482
KrytyczneStreszczenie
W aplikacji soundcloud-rpc przed wersją 0.1.8 występowała podatność, która pozwalała na wykonanie lokalnych poleceń na maszynie użytkownika poprzez złośliwe metadane utworów z SoundCloud. Metadane te były zaufane i przekazywane do głównego procesu Electron, co umożliwiało ich renderowanie jako surowy HTML.
Ocena ryzyka
Atakujący mógł wykorzystać tę podatność do wykonania dowolnych poleceń na urządzeniu użytkownika, co stanowi poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację aplikacji do wersji 0.1.8 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
soundcloud-rpc is a SoundCloud Client with Discord Rich Presence, Dark Mode, Last.fm and AdBlock support. Prior to 0.1.8, a track title containing an HTML payload executed locally in the Electron app. This means attacker-controlled SoundCloud track metadata can lead to local command execution on the user's machine. The application exposes a preload API (window.soundcloudAPI.sendTrackUpdate) to the remote SoundCloud page. Track metadata from SoundCloud is trusted and forwarded through IPC into the Electron main process. The app later renders that metadata as raw HTML inside privileged Electron views that have Node.js integration enabled. This vulnerability is fixed in 0.1.8.

