CVE-2026-40909 in AVideoالمعلومات

الملخص

بحسب VulDB • 24/05/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات 29.0 والإصدارات الأقدم، يقوم نقطة نهاية حفظ اللغة (`locale/save.php`) ببناء مسار ملف عن طريق دمج `$_POST['flag']` مباشرةً في المسار عند السطر 30 دون أي تنقية (sanitization). ثم يتم كتابة المعلمة `$_POST['code']` حرفياً إلى ذلك المسار عبر `fwrite()` عند السطر 40. يمكن لمهاجم بصلاحيات المسؤول (أو أي مستخدم قادر على تنفيذ هجوم CSRF ضد مسؤول، نظراً لعدم التحقق من رمز CSRF واستخدام ملفات تعريف الارتباط بـ `SameSite=None`) التنقل خارج دليل `locale/` وكتابة ملفات `.php` عشوائية في أي موقع قابل للكتابة على نظام الملفات، مما يتيح تنفيذ الكود عن بُعد (RCE). يصلح الالتزام 57f89ffbc27d37c9d9dd727212334846e78ac21a هذه المشكلة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

15/04/2026

إفشاء

21/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-358567

CPE

جاهز

CWE

CWE-22 (مؤكد)

CVSS

8.7 (CNA)

EPSS

0.00190

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40909
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40909
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40909/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!