CVE-2026-41304 in AVideoinformación

Resumen

por VulDB • 2026-05-12

WWBN AVideo es una plataforma de vídeo de código abierto. En las versiones 29.0 y anteriores, el punto de conexión `cloneServer.json.php` del plugin CloneSite construye comandos de shell utilizando entradas controladas por el usuario (parámetro `url`) sin una sanitización adecuada. La entrada se concatena directamente en un comando `wget` ejecutado a través de `exec()`, lo que permite la inyección de comandos. Un atacante puede inyectar comandos de shell arbitrarios escapando del contexto de URL previsto mediante metacaracteres de shell (por ejemplo, `;`). Esto provoca una Ejecución Remota de Código (RCE) en el servidor. El commit 473c609fc2defdea8b937b00e86ce88eba1f15bb contiene una corrección.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-20

Divulgación

2026-04-22

Moderación

aceptado

Artículo

VDB-358619

CPE

listo

CWE

CWE-77 (confirmado)

CVSS

7.3 (VulDB)

EPSS

0.00649

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41304
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41304
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41304/

◂ Anterior Visión De Conjunto Próximo ▸

Do you need the next level of professionalism?

Upgrade your account now!