CVE-2026-41064
CriticalSummary
AVideo to otwartoźródłowa platforma wideo. W wersjach do 29.0 wprowadzono niekompletną poprawkę w pliku `test.php`, która dodaje `escapeshellarg` dla wget, ale pozostawia nieoczyszczone ścieżki kodu dla `file_get_contents` i `curl`, co pozwala na akceptację złośliwych adresów URL.
Risk Assessment
Organizacja może być narażona na ataki związane z wstrzykiwaniem złośliwego kodu poprzez nieprawidłową walidację adresów URL, co może prowadzić do kompromitacji systemów.
Recommendation
Zaleca się aktualizację do najnowszej wersji AVideo, aby zastosować poprawki bezpieczeństwa oraz przegląd kodu w celu zapewnienia odpowiedniej walidacji adresów URL.
Original NVD description (English source)
WWBN AVideo is an open source video platform. In versions up to and including 29.0, an incomplete fix for AVideo's `test.php` adds `escapeshellarg` for wget but leaves the `file_get_contents` and `curl` code paths unsanitized, and the URL validation regex `/^http/` accepts strings like `httpevil[.]com`. Commit 78bccae74634ead68aa6528d631c9ec4fd7aa536 contains an updated fix.

