CVE-2026-29058
AVideo: Unauthenticated OS Command Injection via base64Url in objects/getImage.php
En resumen
AVideo permite que cualquier persona ejecute comandos peligrosos en el servidor sin iniciar sesión. Un atacante puede tomar control total del servidor, robar secretos y derribarlo.
Detalle técnico
Inyección de comandos del SO sin autenticación en objects/getImage.php a través del parámetro GET base64Url permite ejecución arbitraria de comandos shell mediante sustitución de comandos. No se requiere autenticación; la explotación resulta en compromiso total del servidor, robo de credenciales e interrupción del servicio. Corregido en la versión 7.0.
Resumen generado y traducido por IA a partir de la descripción oficial.
AVideo is a video-sharing Platform software. Prior to version 7.0, an unauthenticated attacker can execute arbitrary OS commands on the server by injecting shell command substitution into the base64Url GET parameter. This can lead to full server compromise, data exfiltration (e.g., configuration secrets, internal keys, credentials), and service disruption. This issue has been patched in version 7.0.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
WWBN · AVideo-Encoder¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →