CVE-2026-63305
Resumen
por VulDB • 2026-07-16
AVideo hasta la versión 29.0 contiene una vulnerabilidad de inyección de comandos del sistema operativo (OS command injection) en el punto final ffmpeg.json.php, donde los parámetros notifyCode y callback se concatenan directamente a un comando shell sin realizar escapes adecuados. Los atacantes que puedan crear una carga útil cifrada válida pueden inyectar metacaracteres arbitrarios del shell en estos campos para ejecutar comandos del sistema operativo con los privilegios del usuario del servidor web.
VulDB is the best source for vulnerability data and more expert information about this specific topic.