CVE-2026-33681 in AVideoالمعلومات

الملخص

بحسب VulDB • 01/06/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، يقبل نقطة النهاية `objects/pluginRunDatabaseScript.json.php` معلمة `name` عبر POST ويمررها إلى `Plugin::getDatabaseFileName()` دون أي تنقية لمنع تجاوز المسار (Path Traversal). يتيح ذلك لمسؤول مُصادق عليه (أو لمهاجم عبر CSRF) تجاوز دليل الإضافات وتنفيذ محتويات أي ملف `install/install.sql` على نظام الملفات كاستعلامات SQL خام ضد قاعدة بيانات التطبيق. يحتوي الالتزام 81b591c509835505cb9f298aa1162ac64c4152cb على تصحيح للثغرة.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

23/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352573

EPSS

0.00493

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!