CVE-2026-33482 in AVideoinformazioni

Riassunto

di VulDB • 15/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, la funzione `sanitizeFFmpegCommand()` in `plugin/API/standAlone/functions.php` dovrebbe prevenire l'iniezione di comandi OS nei comandi ffmpeg rimuovendo i metacaratteri shell pericolosi (`&&`, `;`, `|`, `` ` ``, `<`, `>`). Tuttavia, non riesce a rimuovere `$()` (sintassi di sostituzione del comando bash). Poiché il comando sanitizzato viene eseguito all'interno di un contesto `sh -c` tra doppi apici in `execAsync()`, un attaccante che può creare un payload crittografato valido può ottenere l'esecuzione arbitraria di comandi sul server encoder standalone. Il commit 25c8ab90269e3a01fb4cf205b40a373487f022e1 contiene una patch.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

20/03/2026

Divulgazione

23/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.02061

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!