CVE-2026-45578
HighCVSS 8.8Summary
WWBN AVideo to otwartoźródłowa platforma wideo, w wersji 29.0 i wcześniejszych występuje podatność na klasyczną iniekcję metacharakterów powłoki. Wtyczka YPTSocket w pliku plugin/Live/on_publish.php buduje linię poleceń execAsync() poprzez konkatenację łańcuchów, nie stosując escapeshellarg().
Risk Assessment
Atakujący może zamknąć cytowany token i dodać dowolne polecenia, co stwarza poważne ryzyko przejęcia kontroli nad systemem. To może prowadzić do nieautoryzowanego dostępu do danych lub wykonania złośliwego kodu.
Recommendation
Zaleca się aktualizację do najnowszej wersji AVideo, aby usunąć tę podatność. Dodatkowo, należy wprowadzić walidację i sanitizację danych wejściowych w celu zabezpieczenia przed iniekcją metacharakterów.
Original NVD description (English source)
WWBN AVideo is an open source video platform. In 29.0 and earlier, there is a classic shell-metacharacter injection. The YPTSocket notification branch in plugin/Live/on_publish.php builds an execAsync() command line by string concatenation, single-quoting each argument but never calling escapeshellarg(). A ' in any of the three interpolated values ($users_id, $m3u8, $obj->liveTransmitionHistory_id) closes the quoted token and lets the attacker append arbitrary commands.

