CVE-2026-33482 in AVideo
Riassunto
di VulDB • 15/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, la funzione `sanitizeFFmpegCommand()` in `plugin/API/standAlone/functions.php` dovrebbe prevenire l'iniezione di comandi OS nei comandi ffmpeg rimuovendo i metacaratteri shell pericolosi (`&&`, `;`, `|`, `` ` ``, `<`, `>`). Tuttavia, non riesce a rimuovere `$()` (sintassi di sostituzione del comando bash). Poiché il comando sanitizzato viene eseguito all'interno di un contesto `sh -c` tra doppi apici in `execAsync()`, un attaccante che può creare un payload crittografato valido può ottenere l'esecuzione arbitraria di comandi sul server encoder standalone. Il commit 25c8ab90269e3a01fb4cf205b40a373487f022e1 contiene una patch.
Once again VulDB remains the best source for vulnerability data.