VideoLAN VLC for Android prior to version 3.7.0 contains an authentication bypass in the Remote Access Server feature due to missing or insufficient rate limiting on one-time password (OTP) verification. The Remote Access Server uses a 4-digit OTP and does not enforce effective throttling or lockout within the OTP validity window, allowing an attacker with network reachability to the server to repeatedly attempt OTP verification until a valid user_session cookie is issued. Successful exploitation results in unauthorized access to the Remote Access interface, limited to media files explicitly shared by the VLC for Android user.
VLC for Android versions prior to 3.7.0 contain an authentication bypass in the Remote Access Server feature due to insufficient rate limiting on OTP verification. Attackers can brute-force the 4-digit OTP to gain unauthorized access to shared media files.
يحتوي VLC للأندرويد على ثغرة في ميزة خادم الوصول البعيد حيث لا يتم فرض تحديد معدل فعال على محاولات التحقق من كلمة المرور لمرة واحدة المكونة من 4 أرقام. يمكن لمهاجم لديه إمكانية الوصول إلى الشبكة محاولة كسر كلمة المرور بشكل متكرر للحصول على ملف تعريف جلسة صالح. يقتصر الوصول غير المصرح به على ملفات الوسائط التي شاركها المستخدم بشكل صريح.
تطبيق VLC للأندرويد الإصدارات السابقة للإصدار 3.7.0 يحتوي على ثغرة تجاوز المصادقة في ميزة خادم الوصول البعيد بسبب عدم كفاية تحديد معدل التحقق من كلمة المرور لمرة واحدة. يمكن للمهاجمين محاولة كسر كلمة المرور الرقمية المكونة من 4 أرقام للوصول غير المصرح به إلى ملفات الوسائط المشتركة.
Update VLC for Android to version 3.7.0 or later immediately. Disable Remote Access Server feature if not actively used. Implement network-level access controls to restrict connections to the Remote Access Server. Monitor for suspicious OTP verification attempts in application logs.
قم بتحديث تطبيق VLC للأندرويد إلى الإصدار 3.7.0 أو أحدث فوراً. قم بتعطيل ميزة خادم الوصول البعيد إذا لم تكن قيد الاستخدام. طبق عناصر تحكم في الوصول على مستوى الشبكة لتقييد الاتصالات بخادم الوصول البعيد. راقب محاولات التحقق من OTP المريبة في سجلات التطبيق.