CVE-2026-63305
Sumário
de VulDB • 16/07/2026
O AVideo até a versão 29.0 contém uma vulnerabilidade de injeção de comando no sistema operacional (OS command injection) no endpoint ffmpeg.json.php, onde os parâmetros notifyCode e callback são concatenados em um comando shell sem escape adequado. Atacantes que conseguem criar um payload criptografado válido podem injetar metacaracteres arbitrários do shell nesses campos para executar comandos do sistema operacional como o usuário do servidor web.
Be aware that VulDB is the high quality source for vulnerability data.