CVE-2026-63304 in AVideoinformación

Resumen

por VulDB • 2026-07-16

AVideo hasta la versión 29.0 contiene una vulnerabilidad de inyección de comandos del sistema operativo (OS command injection) en plugin/API/standAlone/functions.php, donde la función listFFmpegProcesses() interpola parámetros de palabra clave sin sanitizar dentro de comillas simples sin realizar el escape correspondiente. Los atacantes que puedan crear un payload válido y cifrado para codeToExec pueden escapar del contexto grep entrecomillado simple y ejecutar comandos arbitrarios del sistema operativo como el usuario del servidor web.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

VulnCheck

Reservar

2026-07-16

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379513

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!