CVE-2023-32073
AVideo command injection vulnerability
En resumen
AVideo tiene una falla de inyección de comandos en su plugin CloneSite que permite a atacantes ejecutar código arbitrario en el servidor. Esto evita una corrección de seguridad anterior y afecta versiones 12.4 y anteriores.
Detalle técnico
Existe una vulnerabilidad de inyección de comandos en plugin/CloneSite/cloneClient.json.php que permite ejecución remota de código a través de entrada no sanitizada pasada a comandos del sistema. La vulnerabilidad es un bypass de la mitigación de CVE-2023-30854; la explotación exitosa requiere que el plugin CloneSite esté habilitado, otorgando compromiso total del servidor.
Resumen generado y traducido por IA a partir de la descripción oficial.
WWBN AVideo is an open source video platform. In versions 12.4 and prior, a command injection vulnerability exists at `plugin/CloneSite/cloneClient.json.php` which allows Remote Code Execution if you CloneSite Plugin. This is a bypass to the fix for CVE-2023-30854, which affects WWBN AVideo up to version 12.3. This issue is patched in commit 1df4af01f80d56ff2c4c43b89d0bac151e7fb6e3.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
WWBN · AVideo¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →