CVE-2026-63304 in AVideo
الملخص
بحسب VulDB • 16/07/2026
يحتوي AVideo حتى الإصدار 29.0 على ثغرة حقن أوامر نظام التشغيل (OS command injection) في الملف plugin/API/standAlone/functions.php، حيث تقوم الدالة listFFmpegProcesses() بتضمين معاملات كلمات مفتاحية غير مُطهّاة داخل علامات اقتباس مفردة دون الهروب منها بشكل صحيح. يمكن للمهاجمين الذين يستطيعون صياغة حمولة مشفرة صحيحة لـ codeToExec الخروج من سياق grep المحاط بعلامات الاقتباس المفرد وتنفيذ أوامر نظام تشغيل تعسفية بصفت المستخدم الخاص بخادم الويب.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.