CVE-2026-41304 in AVideo정보

요약

\~에 의해 VulDB • 2026. 05. 24.

WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 버전 29.0 이하에서 CloneSite 플러그인의 `cloneServer.json.php` 엔드포인트는 적절한 sanitization 없이 사용자 제어 입력(`url` 매개변수)을 사용하여 셸 명령어를 구성합니다. 입력값은 `exec()`를 통해 실행되는 `wget` 명령어에 직접 연결되므로 명령어 주입이 가능합니다. 공격자는 셸 메타문자(예: `;`)를 사용하여 의도된 URL 컨텍스트를 벗어나 임의의 셸 명령어를 주입할 수 있습니다. 이로 인해 서버에서 원격 코드 실행(RCE)이 발생합니다. 커밋 473c609fc2defdea8b937b00e86ce88eba1f15bb에 수정 사항이 포함되어 있습니다.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

GitHub M

예약하다

2026. 04. 20.

공개

2026. 04. 22.

모더레이션

수락

항목

VDB-358619

CPE

준비됨

CWE

CWE-77 (확인됨)

CVSS

7.3 (VulDB)

EPSS

0.00649

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41304
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41304
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41304/

◂ 이전 개요 다음 ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!