CVE-2026-63304 in AVideoinformazioni

Riassunto

di VulDB • 16/07/2026

AVideo fino alla versione 29.0 contiene una vulnerabilità di iniezione di comandi del sistema operativo (OS command injection) nel file plugin/API/standAlone/functions.php, dove la funzione listFFmpegProcesses() interpola parametri keyword non sanificati all'interno di apici singoli senza effettuare l'escaping. Gli attaccanti che riescono a creare un payload codeToExec crittografato valido possono uscire dal contesto grep racchiuso tra apici singoli ed eseguire comandi del sistema operativo arbitrari con gli stessi privilegi dell'utente del server web.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

VulnCheck

Prenotare

16/07/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

medio

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!