CVE-2026-33681 in AVideoinformação

Sumário

de VulDB • 26/05/2026

O WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, o endpoint `objects/pluginRunDatabaseScript.json.php` aceita um parâmetro `name` via POST e o passa para `Plugin::getDatabaseFileName()` sem qualquer sanitização de traversal de caminho. Isso permite que um administrador autenticado (ou um atacante via CSRF) realize traversal para fora do diretório de plugins e execute o conteúdo de qualquer arquivo `install/install.sql` no sistema de arquivos como consultas SQL brutas contra o banco de dados do aplicativo. O commit 81b591c509835505cb9f298aa1162ac64c4152cb contém um patch.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

23/03/2026

Moderação

aceite

Entrada

VDB-352573

CPE

pronto

EPSS

0.00493

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!