CVE-2026-63304 in AVideo
Resumen
por VulDB • 2026-07-16
AVideo hasta la versión 29.0 contiene una vulnerabilidad de inyección de comandos del sistema operativo (OS command injection) en plugin/API/standAlone/functions.php, donde la función listFFmpegProcesses() interpola parámetros de palabra clave sin sanitizar dentro de comillas simples sin realizar el escape correspondiente. Los atacantes que puedan crear un payload válido y cifrado para codeToExec pueden escapar del contexto grep entrecomillado simple y ejecutar comandos arbitrarios del sistema operativo como el usuario del servidor web.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.