Music Player Daemon < 0.24.11 SSRF via CurlInputPlugin 漏洞概述 Music Player Daemon (MPD) 在版本 0.24.11 之前存在一个服务器端请求伪造(SSRF)漏洞。该漏洞发生在 中,当 设置但未设置 时,攻击者可以通过触发恶意 HTTP 服务器重定向到非 HTTP 协议(如 gopher、ftp、sftp、ldap、dict、rtmp 或 rtsp)来绕过 http/https 协议限制。攻击者可以通过 MPD 命令(如 、 、 、 或 )触发此漏洞,与内部或受限网络服务交互。 影响范围 软件: Music Player Daemon (MPD) 版本: < 0.24.11 系统要求: 运行 libcurl 版本低于 7.85.0 修复方案 升级到 Music Player Daemon 版本 0.24.11 或更高版本。 参考链接 Researcher Disclosure MPD Release Note MPD Changelog GitHub Issue Patch Commit 贡献者 Matteo Strada Daniele Berardinelli 其他信息 严重性: 中等 日期: 2026年5月28日 CVE: CVE-2026-49129 CWE: CWE-918 Server-Side Request Forgery (SSRF) CVSS: 6.9 CVSS v4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:N