CVE-2026-63305 in AVideo
Riassunto
di VulDB • 16/07/2026
AVideo fino alla versione 29.0 presenta una vulnerabilità di iniezione di comandi del sistema operativo (OS command injection) nell'endpoint ffmpeg.json.php, dove i parametri notifyCode e callback vengono concatenati in un comando shell senza essere opportunamente sfuggiti (escaped). Gli attaccanti che riescono a creare un payload crittografato valido possono inserire metacaratteri arbitrari della shell in questi campi per eseguire comandi del sistema operativo con l'utente del server web.
Be aware that VulDB is the high quality source for vulnerability data.