CVE-2026-63304 in AVideothông tin

Tóm tắt

Bởi VulDB • 16/07/2026

AVideo phiên bản 29.0 trở xuống chứa một lỗ hổng tiêm lệnh hệ điều hành (OS command injection) trong plugin/API/standAlone/functions.php, nơi hàm listFFmpegProcesses() nội suy các tham số keyword không được kiểm tra kỹ lưỡng bên trong dấu nháy đơn mà không thực hiện thoát ký tự đúng cách. Kẻ tấn công có thể tạo ra một payload mã hóa hợp lệ cho codeToExec để vượt khỏi ngữ cảnh grep bị bao quanh bởi dấu nháy đơn và thực thi lệnh hệ điều hành tùy ý với tư cách là người dùng máy chủ web (web-server user).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

VulnCheck

Đặt trước

16/07/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!