CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-32291
https://notcve.org/view.php?id=CVE-2022-32291
05 Jun 2022 — In Real Player through 20.1.0.312, attackers can execute arbitrary code by placing a UNC share pathname (for a DLL file) in a RAM file. En Real Player versiones hasta 20.1.0.312, los atacantes pueden ejecutar código arbitrario al colocar un nombre de ruta compartido UNC (para un archivo DLL) en un archivo RAM • https://github.com/Edubr2020/RP_RecordClip_DLL_Hijack •
CVSS: 9.8EPSS: 4%CPEs: 2EXPL: 2CVE-2022-32270
https://notcve.org/view.php?id=CVE-2022-32270
03 Jun 2022 — In Real Player 20.0.7.309 and 20.0.8.310, external::Import() allows download of arbitrary file types and Directory Traversal, leading to Remote Code Execution. This occurs because it is possible to plant executables in the startup folder (DLL planting could also occur). En Real Player versiones 20.0.7.309 y 20.0.8.310, la función external::Import() permite la descarga de tipos de archivos arbitrarios y un Salto de Directorio, conllevando a una Ejecución de Código Remota. Esto ocurre porque es posible planta... • https://github.com/Edubr2020/RP_Import_RCE • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 9.6EPSS: 1%CPEs: 1EXPL: 2CVE-2022-32271
https://notcve.org/view.php?id=CVE-2022-32271
03 Jun 2022 — In Real Player 20.0.8.310, there is a DCP:// URI Remote Arbitrary Code Execution Vulnerability. This is an internal URL Protocol used by Real Player to reference a file that contains an URL. It is possible to inject script code to arbitrary domains. It is also possible to reference arbitrary local files. En Real Player versión 20.0.8.310, Se presenta una vulnerabilidad de ejecución de código arbitraria remota DCP:// URI. • https://github.com/Edubr2020/RP_DCP_Code_Exec • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 2CVE-2022-32269
https://notcve.org/view.php?id=CVE-2022-32269
03 Jun 2022 — In Real Player 20.0.8.310, the G2 Control allows injection of unsafe javascript: URIs in local HTTP error pages (displayed by Internet Explorer core). This leads to arbitrary code execution. En Real Player versión 20.0.8.310, el Control G2 permite la inyección de javascript no seguro: URIs en páginas locales de error HTTP (mostradas por el núcleo de Internet Explorer). Esto conlleva a una ejecución de código arbitrario • https://github.com/Edubr2020/RealPlayer_G2_RCE • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-9302
https://notcve.org/view.php?id=CVE-2017-9302
29 May 2017 — RealPlayer 16.0.2.32 allows remote attackers to cause a denial of service (divide-by-zero error and application crash) via a crafted mp4 file. RealPlayer 16.0.2.32 permitiría a una atacante remoto causar una denegación de servicio (error de división por cero y fallo de la aplicación) a través de un archivo mp4 especialmente diseñado. • http://code610.blogspot.com/2017/05/divided-realplayer-160232.html • CWE-369: Divide By Zero •
CVSS: 5.5EPSS: 1%CPEs: 1EXPL: 1CVE-2016-9018 – RealPlayer 18.1.5.705 - '.QCP' Crash (PoC)
https://notcve.org/view.php?id=CVE-2016-9018
28 Oct 2016 — Improper handling of a repeating VRAT chunk in qcpfformat.dll allows attackers to cause a Null pointer dereference and crash in RealNetworks RealPlayer 18.1.5.705 through a crafted .QCP media file. Manejo incorrecto de un fragmento VRAT repetido en qcpfformat.dll permite a atacantes provocar una referencia a un puntero nulo y caída en RealNetworks RealPlayer 18.1.5.705 mediante un archivo multimedia .QCP manipulado. • https://www.exploit-db.com/exploits/40617 • CWE-476: NULL Pointer Dereference •
CVSS: 9.3EPSS: 12%CPEs: 2EXPL: 0CVE-2014-3113
https://notcve.org/view.php?id=CVE-2014-3113
07 Jul 2014 — Multiple buffer overflows in RealNetworks RealPlayer before 17.0.10.8 allow remote attackers to execute arbitrary code via a malformed (1) elst or (2) stsz atom in an MP4 file. Múltiples desbordamientos de buffer en RealNetworks RealPlayer anterior a 17.0.10.8 permiten a atacantes remotos ejecutar código arbitrario a través de un átomo (1) elst or (2) stsz malformado en un fichero MP4. • http://secunia.com/advisories/59238 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 9.3EPSS: 25%CPEs: 5EXPL: 3CVE-2014-3444 – RealPlayer - '.3gp' File Processing Memory Corruption
https://notcve.org/view.php?id=CVE-2014-3444
16 May 2014 — The GetGUID function in codecs/dmp4.dll in RealNetworks RealPlayer 16.0.3.51 and earlier allows remote attackers to execute arbitrary code or cause a denial of service (write access violation and application crash) via a malformed .3gp file. La función GetGUID en codecs/dmp4.dll en RealNetworks RealPlayer 16.0.3.51 y anteriores permite a atacantes remotos ejecutar código arbitrario o causar una denegación de servicio (violación de acceso a escritura y caída de aplicación) a través de un archivo .3gp malform... • https://packetstorm.news/files/id/126637 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.8EPSS: 78%CPEs: 50EXPL: 2CVE-2013-7260 – RealNetworks RealPlayer Version Attribute Buffer Overflow
https://notcve.org/view.php?id=CVE-2013-7260
03 Jan 2014 — Multiple stack-based buffer overflows in RealNetworks RealPlayer before 17.0.4.61 on Windows, and Mac RealPlayer before 12.0.1.1738, allow remote attackers to execute arbitrary code via a long (1) version number or (2) encoding declaration in the XML declaration of an RMP file, a different issue than CVE-2013-6877. Múltiples desbordamientos de buffer basados en pila en RealNetworks RealPlayer anteriores a 17.0.4.61 en Windows, y Mac RealPlayer anteriores a 12.0.1.1738, permite a atacantes remotos ejecutar c... • https://www.exploit-db.com/exploits/30468 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVSS: 9.8EPSS: 36%CPEs: 2EXPL: 6CVE-2013-6877 – RealNetworks RealPlayer 16.0.3.51/16.0.2.32 - '.rmp' Version Attribute Buffer Overflow
https://notcve.org/view.php?id=CVE-2013-6877
19 Dec 2013 — Heap-based buffer overflow in RealNetworks RealPlayer before 17.0.4.61 on Windows, and Mac RealPlayer before 12.0.1.1738, allows remote attackers to execute arbitrary code via a long string in the TRACKID element of an RMP file, a different vulnerability than CVE-2013-7260. Desbordamiento de buffer basado en memoria dinámica en RealNetworks RealPlayer 16.0.2.32 y 16.0.3.51 permite a atacantes remotos ejecutar código de forma arbitraria a través de una cadena larga en el elemento TRACKID de un archivo RMP. • https://packetstorm.news/files/id/124605 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •