Live
* CISA Exposes Secrets, Credentials in ‚Private‘ Repo* AI Agents Are Shifting Identity Security Budget Dynamics* GitHub Confirms Breach, 4K Internal Repos Stolen* Canvas Breach Disrupts Schools & Colleges Nationwide* It’s Patch Tuesday for Microsoft & Not a Zero-Day In Sight* CISA Admin Leaked AWS GovCloud Keys on Github* Why Chargebacks are Just One Piece of the Fraud Puzzle* Former US execs plead guilty to aiding tech support scammers* US and Canada arrest and charge suspected Kimwolf botnet admin* Turla Turns Kazuar Backdoor Into Modular P2P Botnet for Persistent Access* CISA Exposes Secrets, Credentials in ‚Private‘ Repo* AI Agents Are Shifting Identity Security Budget Dynamics* GitHub Confirms Breach, 4K Internal Repos Stolen* Canvas Breach Disrupts Schools & Colleges Nationwide* It’s Patch Tuesday for Microsoft & Not a Zero-Day In Sight* CISA Admin Leaked AWS GovCloud Keys on Github* Why Chargebacks are Just One Piece of the Fraud Puzzle* Former US execs plead guilty to aiding tech support scammers* US and Canada arrest and charge suspected Kimwolf botnet admin* Turla Turns Kazuar Backdoor Into Modular P2P Botnet for Persistent Access
CVE-2026-47114 High 22. Mai 2026 CVSS 8.8/10

🟠 CVE-2026-47114: High Schwachstelle

CVE-2026-47114
8.8/10
High
Nein
Various
Network
NVD Quelle

„`html

Zusammenfassung

CVE-2026-47114 beschreibt eine kritische Remote Command Execution (RCE) Anfälligkeit im IINA Media Player vor Version 1.4.3. Die Schwachstelle ermöglicht es Angreifern, über manipulierte URLs mit dem Custom URL Scheme iina://open beliebige Kommandos auszuführen. Die Anfälligkeit wird als „High“ eingestuft mit einem CVSS-Score von 8.8 und erfordert lediglich die Bestätigung eines Browser-Protokoll-Prompts durch den Benutzer.

Betroffene Systeme

Die Anfälligkeit betrifft IINA Media Player-Installationen vor Version 1.4.3 auf macOS-Systemen. IINA ist ein beliebter Open-Source Video-Player für macOS, der auf der mpv-Engine basiert. Alle Versionen unterhalb von 1.4.3 sind anfällig.

Technische Details

Der Angriff funktioniert über eine unzureichende Validierung von URL-Parametern im iina:// Custom URL Scheme Handler. Angreifer können speziell präparierte URLs mit mpv-prefixierten Query-Parametern konstruieren, beispielsweise iina://open?mpv_options=--input-commands=...&mpv_params=malicious_command. Diese Parameter werden direkt und ohne Validierung an die mpv-Runtime weitergeleitet. Wird die URL über einen Browser aufgerufen und vom Benutzer bestätigt, führt mpv die in den Parametern eingebetteten Kommandos mit den Privilegien des aktuellen macOS-Benutzers aus – unabhängig davon, ob eine valide Media-Datei vorhanden ist.

Empfohlene Massnahmen

Patch: Derzeit ist kein Patch verfügbar. Benutzer sollten den GitHub-Repository und die offizielle Website auf Updates überprüfen.
Workarounds: Deaktivieren Sie den iina:// URL Scheme Handler in der Browser-Konfiguration, falls möglich. Seien Sie extrem vorsichtig beim Öffnen unbekannter Links.
Monitoring: Überwachen Sie Browser-Verlauf auf verdächtige iina:// URLs. Implementieren Sie User-Awareness-Training gegen Phishing-Kampagnen mit manipulierten Links.

Bewertung

Aufgrund des hohen CVSS-Scores (8.8), der einfachen Ausnutzbarkeit und der fehlenden Patches ist schnelle Maßnahmen erforderlich. IINA-Nutzer sollten das System isolieren oder den Player deinstallieren, bis ein Patch verfügbar ist.

„`

🛒

Empfohlene Security-Tools

* Affiliate-Links
🔑 Empfohlen
YubiKey Security Key NFC
Hardware-Sicherheitsschluessel fuer Zwei-Faktor-Authentifizierung. Schuetzt Accounts selbst bei gestohlenen Passwoertern.
ab 29,00 € Amazon →
🛡 Netzwerk
GL.iNet GL-MT3000 Reise-Router
VPN-faehiger Pocket-Router mit WiFi 6. Schuetzt dein Netzwerk unterwegs und zu Hause vor Angriffen.
ab 69,00 € Amazon →
📘 Buch
Hacking & Cyber Security mit KI
Prompt Engineering, Phishing, Pentesting mit ChatGPT. Perfekt fuer IT-Security Einsteiger und Profis.
ab 24,99 € Amazon →
💻 Buch
Ethical Hacking - Das grosse Buch
Hacking mit Python Schritt fuer Schritt erklaert. Verstehe wie Angreifer denken und schuetze deine Systeme.
ab 39,99 € Amazon →
🐍 Buch
Python fuer Einsteiger
Programmieren lernen mit Python - Schritt fuer Schritt zum Python-Profi. Ideal fuer Security Automation.
ab 29,99 € Amazon →

* Als Amazon-Partner verdiene ich an qualifizierten Kaeufen. Diese Links helfen dabei, HuntingThreats kostenlos zu betreiben.

Automatisch aggregiert von HuntingThreats am 22.05.2026
Alle CVEs ansehen