VideoLAN VLC for Android prior to version 3.7.0 contains a path traversal vulnerability in the Remote Access Server routing for the authenticated endpoint GET /download. The file query parameter is concatenated into a filesystem path under the configured download directory without canonicalization or directory containment checks, allowing an authenticated attacker with network reachability to the Remote Access Server to request files outside the intended directory. The impact is bounded by the Android application sandbox and storage restrictions, typically limiting exposure to app-internal and app-specific external storage.
VLC for Android versions prior to 3.7.0 contain a path traversal vulnerability in the Remote Access Server's GET /download endpoint that allows authenticated attackers to access files outside the intended directory. The vulnerability is mitigated by Android sandbox restrictions and storage limitations.
تحتوي نسخ VLC للأندرويد السابقة للإصدار 3.7.0 على ثغرة اجتياز المسار في نقطة نهاية GET /download بخادم الوصول البعيد. يمكن للمهاجمين المصرحين الوصول إلى الملفات خارج الدليل المقصود من خلال معامل الملف غير المدقق. يتم تحديد تأثير الثغرة بواسطة قيود صندوق الحماية وتخزين أندرويد.
إصدارات VLC للأندرويد السابقة للإصدار 3.7.0 تحتوي على ثغرة اجتياز المسار في خادم الوصول البعيد التي تسمح للمهاجمين المصرحين بالوصول إلى الملفات خارج الدليل المقصود. يتم تخفيف الثغرة من خلال قيود الحماية والتخزين في أندرويد.
Update VLC for Android to version 3.7.0 or later immediately. Organizations should audit systems using VLC Remote Access Server and restrict network access to the service. Implement network segmentation and access controls to limit exposure to authenticated users only.
قم بتحديث VLC للأندرويد إلى الإصدار 3.7.0 أو أحدث فوراً. يجب على المنظمات تدقيق الأنظمة التي تستخدم خادم الوصول البعيد لـ VLC وتقييد الوصول الشبكي للخدمة. قم بتنفيذ تقسيم الشبكة والتحكم في الوصول لتحديد التعرض للمستخدمين المصرحين فقط.