CVE-2026-63304 in AVideoالمعلومات

الملخص

بحسب VulDB • 16/07/2026

يحتوي AVideo حتى الإصدار 29.0 على ثغرة حقن أوامر نظام التشغيل (OS command injection) في الملف plugin/API/standAlone/functions.php، حيث تقوم الدالة listFFmpegProcesses() بتضمين معاملات كلمات مفتاحية غير مُطهّاة داخل علامات اقتباس مفردة دون الهروب منها بشكل صحيح. يمكن للمهاجمين الذين يستطيعون صياغة حمولة مشفرة صحيحة لـ codeToExec الخروج من سياق grep المحاط بعلامات الاقتباس المفرد وتنفيذ أوامر نظام تشغيل تعسفية بصفت المستخدم الخاص بخادم الويب.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

VulnCheck

حجز

16/07/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379513

EPSS

0.00000

KEV

لا

النشاطات

متوسط

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!