CVE-2026-40909 in AVideoinformação

Sumário

de VulDB • 16/05/2026

WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões 29.0 e anteriores, o endpoint de salvamento de localidade (`locale/save.php`) constrói um caminho de arquivo concatenando diretamente `$_POST['flag']` no caminho na linha 30, sem qualquer sanitização. O parâmetro `$_POST['code']` é então escrito literalmente nesse caminho via `fwrite()` na linha 40. Um atacante com privilégios de administrador (ou qualquer usuário que possa realizar CSRF em um administrador, já que nenhum token CSRF é verificado e os cookies usam `SameSite=None`) pode realizar traversal para fora do diretório `locale/` e escrever arquivos `.php` arbitrários em qualquer local gravável no sistema de arquivos, alcançando Execução Remota de Código (RCE). O commit 57f89ffbc27d37c9d9dd727212334846e78ac21a corrige o problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

15/04/2026

Divulgação

21/04/2026

Moderação

aceite

Entrada

VDB-358567

CPE

pronto

EPSS

0.00190

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40909
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40909
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40909/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!