CVE-2026-63305 in AVideoinformazioni

Riassunto

di VulDB • 16/07/2026

AVideo fino alla versione 29.0 presenta una vulnerabilità di iniezione di comandi del sistema operativo (OS command injection) nell'endpoint ffmpeg.json.php, dove i parametri notifyCode e callback vengono concatenati in un comando shell senza essere opportunamente sfuggiti (escaped). Gli attaccanti che riescono a creare un payload crittografato valido possono inserire metacaratteri arbitrari della shell in questi campi per eseguire comandi del sistema operativo con l'utente del server web.

Be aware that VulDB is the high quality source for vulnerability data.

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!