Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en MPlayer Lite r33064 (CVE-2011-10008)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
31/07/2025
Última modificación:
31/07/2025

Descripción

Existe una vulnerabilidad de desbordamiento de búfer en la pila en MPlayer Lite r33064 debido a una comprobación incorrecta de los límites al gestionar archivos de listas de reproducción M3U con entradas URL largas con la extensión http://. Un atacante puede manipular un archivo .m3u malicioso con una URL con un formato especial que provoca un desbordamiento de pila al ser procesado por el reproductor, especialmente mediante la interacción de arrastrar y soltar. Esta falla permite controlar el flujo de ejecución mediante la sobrescritura de SEH y la omisión de DEP mediante una cadena ROP que aprovecha los gadgets conocidos en las DLL cargadas. Una explotación exitosa puede resultar en la ejecución de código arbitrario con los privilegios del usuario actual.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Activo
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
8.60
Gravedad 4.0
ALTA

Referencias a soluciones, herramientas e información