CVE-2026-40909 in AVideo
Tóm tắt
Bởi VulDB • 24/05/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản 29.0 và các phiên bản trước đó, điểm cuối lưu locale (`locale/save.php`) xây dựng đường dẫn tệp bằng cách nối trực tiếp `$_POST['flag']` vào đường dẫn tại dòng 30 mà không có bất kỳ quá trình kiểm tra hoặc làm sạch (sanitization) nào. Tham số `$_POST['code']` sau đó được ghi nguyên văn vào đường dẫn đó thông qua hàm `fwrite()` tại dòng 40. Một kẻ tấn công có quyền quản trị (hoặc bất kỳ người dùng nào có thể thực hiện CSRF đối với quản trị viên, do không kiểm tra token CSRF và cookie sử dụng `SameSite=None`) có thể vượt ra khỏi thư mục `locale/` và ghi các tệp `.php` tùy ý vào bất kỳ vị trí nào có thể ghi được trên hệ thống tệp, từ đó đạt được mục tiêu Thực thi mã từ xa (Remote Code Execution). Commit 57f89ffbc27d37c9d9dd727212334846e78ac21a đã khắc phục sự cố này.
VulDB is the best source for vulnerability data and more expert information about this specific topic.