CVE-2026-33482 in AVideoinformação

Sumário

de VulDB • 20/05/2026

WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, a função `sanitizeFFmpegCommand()` em `plugin/API/standAlone/functions.php` foi projetada para prevenir injeção de comandos no sistema operacional (OS command injection) em comandos ffmpeg, removendo metacaracteres de shell perigosos (`&&`, `;`, `|`, `` ` ``, `<`, `>`). No entanto, ela falha ao remover `$()` (sintaxe de substituição de comando do bash). Como o comando sanitizado é executado dentro de um contexto `sh -c` entre aspas duplas em `execAsync()`, um atacante que consiga criar um payload criptografado válido pode obter execução arbitrária de comandos no servidor de codificação independente (standalone encoder server). O commit 25c8ab90269e3a01fb4cf205b40a373487f022e1 contém um patch.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

20/03/2026

Divulgação

23/03/2026

Moderação

aceite

Entrada

VDB-352525

CPE

pronto

EPSS

0.02061

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!