CVE-2026-41064
KrytyczneStreszczenie
AVideo to otwartoźródłowa platforma wideo. W wersjach do 29.0 wprowadzono niekompletną poprawkę w pliku `test.php`, która dodaje `escapeshellarg` dla wget, ale pozostawia nieoczyszczone ścieżki kodu dla `file_get_contents` i `curl`, co pozwala na akceptację złośliwych adresów URL.
Ocena ryzyka
Organizacja może być narażona na ataki związane z wstrzykiwaniem złośliwego kodu poprzez nieprawidłową walidację adresów URL, co może prowadzić do kompromitacji systemów.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji AVideo, aby zastosować poprawki bezpieczeństwa oraz przegląd kodu w celu zapewnienia odpowiedniej walidacji adresów URL.
Oryginalny opis (angielski, źródło NVD)
WWBN AVideo is an open source video platform. In versions up to and including 29.0, an incomplete fix for AVideo's `test.php` adds `escapeshellarg` for wget but leaves the `file_get_contents` and `curl` code paths unsanitized, and the URL validation regex `/^http/` accepts strings like `httpevil[.]com`. Commit 78bccae74634ead68aa6528d631c9ec4fd7aa536 contains an updated fix.

