En Anàlisi

CRÍTIC: (9.8)

CVSS6: 8.9

RealNetworks RealPlayer i RealPlayer Cloud podrien permetre a un atacant remot accedir a  directoris del sistema, causat per un defecte en la funció external::Import(). Un atacant podria enviar una sol·licitud d’URL especialment elaborada que contingués seqüències de “punts” (/.. /) per executar codi arbitrari sobre el sistema.

Sistemes Afectats

• Realnetworks RealPlayer 16.0.3.51
• RealNetworks RealPlayer Cloud 17.0.9.17
• RealNetworks RealPlayer Cloud 20.0.7.309
• RealNetworks RealPlayer 16.00.282

Remediació
No hi ha cap remei disponible a partir de l’1 de juny de 2022.

Referències

• https://packetstormsecurity.com/files/167337
• https://www.real.com/