CRITICAL🇬🇧 English

CVE-2010-10016

Buffer overflow w BS.Player 2.57 podczas importu playlist M3U

CVSS 10.0v4.0pub. 2025-08-30upd. 2026-04-15

BS.Player w wersji 2.57 (build 1051) zawiera podatność typu buffer overflow w funkcji importu playlist, wyzwalaną przez otwarcie spreparowanego pliku .m3u. Podatność uzyskała maksymalny wynik CVSS 10.0, co oznacza możliwość pełnego przejęcia kontroli nad systemem bez żadnych uprawnień ani interakcji ze strony ofiary.

Pokaż oryginał (EN)

BS.Player version 2.57 (build 1051) contains a vulnerability in its playlist import functionality. When processing .m3u files, the application fails to properly validate the length of playlist entries, resulting in a buffer overflow condition. This flaw occurs during parsing of long URLs embedded in the playlist, allowing overwrite of Structured Exception Handler (SEH) records. The vulnerability is triggered upon opening a crafted playlist file and affects the Unicode parsing logic in the Windows client.

🤖 Analiza AI
Jak działa

Aplikacja nie waliduje długości wpisów podczas parsowania plików playlist .m3u, co prowadzi do przepełnienia bufora (buffer overflow). Atakujący osadza w pliku .m3u wyjątkowo długi adres URL, którego przetwarzanie przez logikę parsowania Unicode powoduje nadpisanie rekordów Structured Exception Handler (SEH). Wystarczy, że ofiara otworzy spreparowany plik playlist — nie jest wymagana żadna dodatkowa interakcja ani specjalne uprawnienia.

Skutki

Atakujący może wykonać dowolny kod (RCE) w kontekście procesu BS.Player na komputerze ofiary, co może prowadzić do pełnego przejęcia systemu Windows, na którym działa podatna aplikacja.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek zastępczy należy unikać otwierania plików .m3u z niezaufanych źródeł. Warto rozważyć zastąpienie podatnej aplikacji nowszą wersją lub alternatywnym odtwarzaczem.

Kogo dotyczy

BS.Player w wersji 2.57 (build 1051) działający na systemach Windows — dotyczy klientów korzystających z funkcji importu playlist M3U.

Uwagi

Dla tej podatności dostępne są publiczne exploity w bazie Exploit-DB (wpisy 15934 i 18375) oraz moduł w frameworku Metasploit (bsplayer_m3u.rb), co znacząco obniża próg wejścia dla potencjalnych atakujących.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Memory
CWE
Referencje
CVE-2010-10016 — Buffer overflow w BS.Player 2.57 podczas importu playlist M3U — CRITICAL 10.0 | CVEbaza.pl