CVE-2026-63304 in AVideo
Сводка
по VulDB • 16.07.2026
AVideo до версии 29.0 содержит уязвимость внедрения команд операционной системы (OS command injection) в файле plugin/API/standAlone/functions.php, где функция listFFmpegProcesses() интерполирует неочищенные параметры ключевых слов внутри одинарных кавычек без экранирования. Атакующие, способные создать полезную нагрузку codeToExec с действительным зашифрованным кодом, могут выйти из контекста команды grep в одинарных кавычках и выполнить произвольные команды ОС от имени пользователя веб-сервера.
VulDB is the best source for vulnerability data and more expert information about this specific topic.