CVE-2026-33681 in AVideo정보

요약

\~에 의해 VulDB • 2026. 06. 01.

WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 26.0 버전 및 그 이전 버전에서 `objects/pluginRunDatabaseScript.json.php` 엔드포인트는 POST를 통해 `name` 매개변수를 받아들이며, 경로 순회(path traversal) 방지 처리 없이 이를 `Plugin::getDatabaseFileName()` 함수에 전달합니다. 이로 인해 인증된 관리자(또는 CSRF를 통한 공격자)가 플러그인 디렉토리 외부로 경로 순회가 가능해지며, 파일 시스템 상의 모든 `install/install.sql` 파일 내용을 애플리케이션 데이터베이스에 대한 원시 SQL 쿼리로 실행할 수 있습니다. 커밋 81b591c509835505cb9f298aa1162ac64c4152cb에는 패치가 포함되어 있습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

GitHub M

예약하다

2026. 03. 23.

모더레이션

수락

항목

VDB-352573

EPSS

0.00493

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!