CVE-2023-30854
WWBN AVideo vulnerable to OS Command Injection
En resumen
AVideo, una plataforma de vídeos, tiene una falla donde usuarios autenticados pueden ejecutar comandos maliciosos en el servidor a través de una funcionalidad específica. Esto permite que atacantes tomen control total del sistema afectado.
Detalle técnico
Existe una vulnerabilidad de Inyección de Comando OS en el endpoint `/plugin/CloneSite/cloneClient.json.php` que permite a usuarios autenticados inyectar y ejecutar comandos arbitrarios del sistema operativo con privilegios del servidor. La vulnerabilidad posibilita Ejecución Remota de Código (RCE) siendo la autenticación la única precondición requerida. Corregido en versión 12.4.
Resumen generado y traducido por IA a partir de la descripción oficial.
AVideo is an open source video platform. Prior to version 12.4, an OS Command Injection vulnerability in an authenticated endpoint `/plugin/CloneSite/cloneClient.json.php` allows attackers to achieve Remote Code Execution. This issue is fixed in version 12.4.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
WWBN · AVideo¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →