CVE-2026-45731
MediumCVSS 4.9Summary
WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, plik view/update.php odczytuje $_POST['updateFile'] jako ścieżkę względną w katalogu updatedb/ i przekazuje ją do funkcji file() w PHP, co umożliwia wykonanie jej linia po linii w ramach migracji bazy danych.
Risk Assessment
Zagrożenie polega na tym, że uwierzytelniony administrator może wykorzystać tę podatność do odczytu dowolnych plików tekstowych dostępnych dla procesu serwera WWW, co może prowadzić do ujawnienia wrażliwych informacji.
Recommendation
Zaleca się aktualizację do najnowszej wersji AVideo, aby usunąć tę podatność oraz ograniczenie dostępu do funkcji aktualizacji tylko dla zaufanych administratorów.
Original NVD description (English source)
WWBN AVideo is an open source video platform. In 29.0 and earlier, view/update.php reads $_POST['updateFile'] as a relative path under updatedb/ and passes it to PHP's file() for line-by-line execution as part of a database migration. An authenticated administrator can abuse this to read arbitrary text files reachable from the web-server process.

