CVE-2026-63304 in AVideo
要約
〜によって VulDB • 2026年07月16日
AVideo 29.0 までは、plugin/API/standAlone/functions.php の listFFmpegProcesses() 関数において、エスケープ処理が行われずに単一引用符内でサニタイズされていないキーワードパラメータを補間する OS コマンドインジェクションの脆弱性が存在します。有効な暗号化された codeToExec ペイロードを作成できる攻撃者は、単一引用符で囲まれた grep コンテキストから脱出し、Web サーバーユーザーとして任意の OS コマンドを実行できます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.