Vulnerabilità: CVE-2020-5764

versioni MX Player App Android precedenti alla v1.24.5, sono vulnerabili ad una vulnerabilità attraversamento directory quando l’utente utilizza la funzione di trasferimento MX in modalità ""Receive"". Un utente malintenzionato può sfruttare questa collegandosi alla sessione di Trasferimento MX come ""mittente"" e l’invio di un MessageType di ""FILE_LIST"" con un campo ""nome"" che contiene i caratteri di attraversamento delle directory (../). Ciò comporterà il file che viene trasferito al telefono della vittima, ma viene salvato al di fuori del previsto directory ""/ sdcard / MXshare"". In alcuni casi, un utente malintenzionato può ottenere l’esecuzione di codice remoto tramite la scrittura di file "".vdex"" "".odex"" e nella directory ‘d’avena’ dell’applicazione MX Player.


https://www.tenable.com/security/research/tra-2020-41
https://www.tenable.com/security/research/tra-2020-41
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5764


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi