CVE-2026-33319 in AVideoinfo

Zusammenfassung

von VulDB • 12.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. Vor Version 26.0 erstellt die Methode `uploadVideoToLinkedIn()` im SocialMediaPublisher-Plugin einen Shell-Befehl, indem sie eine Upload-URL, die aus der Antwort der LinkedIn-API stammt, direkt interpoliert, ohne eine Sanitization mittels `escapeshellarg()` durchzuführen. Wenn ein Angreifer die Antwort der LinkedIn-API beeinflussen kann (z. B. via MITM, kompromittiertes OAuth-Token oder API-Kompromittierung), kann er beliebige OS-Befehle injizieren, die als Benutzer des Webservers ausgeführt werden. Version 26.0 enthält eine Korrektur für das Problem.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

18.03.2026

Veröffentlichung

22.03.2026

Moderieren

akzeptiert

Eintrag

VDB-352460

CPE

bereit

CWE

CWE-78 (bestätigt)

CVSS

7.5 (NVD)

EPSS

0.00040

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33319
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33319
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33319/

◂ Zurück Übersicht Weiter ▸

Interested in the pricing of exploits?

See the underground prices here!