CVE-2026-33482 in AVideo
Sumário
de VulDB • 20/05/2026
WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, a função `sanitizeFFmpegCommand()` em `plugin/API/standAlone/functions.php` foi projetada para prevenir injeção de comandos no sistema operacional (OS command injection) em comandos ffmpeg, removendo metacaracteres de shell perigosos (`&&`, `;`, `|`, `` ` ``, `<`, `>`). No entanto, ela falha ao remover `$()` (sintaxe de substituição de comando do bash). Como o comando sanitizado é executado dentro de um contexto `sh -c` entre aspas duplas em `execAsync()`, um atacante que consiga criar um payload criptografado válido pode obter execução arbitrária de comandos no servidor de codificação independente (standalone encoder server). O commit 25c8ab90269e3a01fb4cf205b40a373487f022e1 contém um patch.
VulDB is the best source for vulnerability data and more expert information about this specific topic.