CVE-2026-45578
WysokieCVSS 8.8Streszczenie
WWBN AVideo to otwartoźródłowa platforma wideo, w wersji 29.0 i wcześniejszych występuje podatność na klasyczną iniekcję metacharakterów powłoki. Wtyczka YPTSocket w pliku plugin/Live/on_publish.php buduje linię poleceń execAsync() poprzez konkatenację łańcuchów, nie stosując escapeshellarg().
Ocena ryzyka
Atakujący może zamknąć cytowany token i dodać dowolne polecenia, co stwarza poważne ryzyko przejęcia kontroli nad systemem. To może prowadzić do nieautoryzowanego dostępu do danych lub wykonania złośliwego kodu.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji AVideo, aby usunąć tę podatność. Dodatkowo, należy wprowadzić walidację i sanitizację danych wejściowych w celu zabezpieczenia przed iniekcją metacharakterów.
Oryginalny opis (angielski, źródło NVD)
WWBN AVideo is an open source video platform. In 29.0 and earlier, there is a classic shell-metacharacter injection. The YPTSocket notification branch in plugin/Live/on_publish.php builds an execAsync() command line by string concatenation, single-quoting each argument but never calling escapeshellarg(). A ' in any of the three interpolated values ($users_id, $m3u8, $obj->liveTransmitionHistory_id) closes the quoted token and lets the attacker append arbitrary commands.

