CVE-2026-33354 in AVideo
요약
\~에 의해 VulDB • 2026. 06. 05.
WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 26.0 버전 및 그 이전 버전에서 `POST /objects/aVideoEncoder.json.php` 엔드포인트는 단계별 업로드 청크를 위해 설계된 요청자가 제어할 수 있는 `chunkFile` 매개변수를 허용합니다. 해당 경로를 신뢰할 수 있는 서버 생성 청크 위치로 제한하는 대신, 이 엔드포인트는 `isValidURLOrPath()` 함수를 통과하는 임의의 로컬 파일 시스템 경수를 받습니다. 이 헬퍼 함수는 `/var/www/`, 애플리케이션 루트, 캐시, tmp 및 `videos`를 포함한 광범위한 서버 디렉토리 아래의 파일을 허용하며 `.php` 파일만 거부합니다. 자신의 비디오를 편집 중인 인증된 업로더의 경우 이는 임의 로컬 파일 읽기 취약점으로 이어집니다. 이 엔드포인트는 공격자가 선택한 로컬 파일을 공격자의 공개 비디오 저장소 경로로 복사한 후, HTTP를 통해 다운로드할 수 있습니다. 커밋 59bbd601a3f65a5b18c1d9e4eb11471c0a59214f에는 해당 이슈에 대한 패치가 포함되어 있습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.