CVE-2026-34733 in AVideoinformazioni

Riassunto

di VulDB • 17/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, lo script di installazione di AVideo install/deleteSystemdPrivate.php contiene un bug relativo alla precedenza degli operatori PHP nel suo meccanismo di protezione per l'accesso tramite riga di comando (CLI). Lo script dovrebbe essere eseguito esclusivamente da riga di comando, ma la condizione di controllo !php_sapi_name() === 'cli' non viene mai valutata come true a causa del modo in cui PHP risolve la precedenza degli operatori. L'operatore NOT logico (!) ha una priorità maggiore rispetto all'operatore di confronto stretto (===), causando l'espressione che si valuta sempre su false, il che significa che lo statement die() non viene mai eseguito. Di conseguenza, lo script è accessibile tramite HTTP senza autenticazione e cancellerà file dalla directory temporanea del server mentre anche rivelerà i contenuti della directory temporanea nella sua risposta. Al momento della pubblicazione, non ci sono patch disponibili pubblicamente.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

01/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00341

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!