CVE-2026-44482 soundcloud-rpc 远程代码执行漏洞

soundcloud-rpc是一款带有Discord Rich Presence等功能的SoundCloud客户端。在0.1.8版本之前，该应用存在严重的远程代码执行漏洞。由于应用将SoundCloud的曲目元数据视为可信内容，并通过IPC转发至Electron主进程，随后在启用Node.js集成的特权视图中将其渲染为原始HTML，攻击者可通过构造包含恶意HTML载荷的曲目标题，在用户本地机器上执行任意命令。

该漏洞的核心原因在于Electron应用对渲染进程的安全上下文配置不当。soundcloud-rpc暴露了预加载API `window.soundcloudAPI.sendTrackUpdate`，用于接收远程SoundCloud页面的数据。当应用获取曲目元数据（如标题）时，未进行有效的输入清理，直接通过IPC传递给主进程。接着，应用在具有Node.js集成（Node.js integration enabled）的特权视图中，利用`innerHTML`或类似机制将元数据作为原始HTML渲染。由于Node.js集成赋予了渲染进程完整的系统访问权限，攻击者只需在曲目标题中植入恶意脚本（如利用`<img>`标签的`onerror`事件触发`require('child_process').exec`），即可在受害者播放曲目时实现本地命令执行，完全控制用户系统。