CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45578

HighCVSS 8.8
Published: Updated: Translated: NVD NIST

Summary

WWBN AVideo to otwartoźródłowa platforma wideo, w wersji 29.0 i wcześniejszych występuje podatność na klasyczną iniekcję metacharakterów powłoki. Wtyczka YPTSocket w pliku plugin/Live/on_publish.php buduje linię poleceń execAsync() poprzez konkatenację łańcuchów, nie stosując escapeshellarg().

Risk Assessment

Atakujący może zamknąć cytowany token i dodać dowolne polecenia, co stwarza poważne ryzyko przejęcia kontroli nad systemem. To może prowadzić do nieautoryzowanego dostępu do danych lub wykonania złośliwego kodu.

Recommendation

Zaleca się aktualizację do najnowszej wersji AVideo, aby usunąć tę podatność. Dodatkowo, należy wprowadzić walidację i sanitizację danych wejściowych w celu zabezpieczenia przed iniekcją metacharakterów.

Original NVD description (English source)

WWBN AVideo is an open source video platform. In 29.0 and earlier, there is a classic shell-metacharacter injection. The YPTSocket notification branch in plugin/Live/on_publish.php builds an execAsync() command line by string concatenation, single-quoting each argument but never calling escapeshellarg(). A ' in any of the three interpolated values ($users_id, $m3u8, $obj->liveTransmitionHistory_id) closes the quoted token and lets the attacker append arbitrary commands.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS