CVE-2023-30854

WWBN AVideo vulnerable to OS Command Injection

CVSS 8.8 HIGHEPSS 5.2%CWE-78

Em resumo

O AVideo, uma plataforma de vídeos, possui uma falha em que usuários logados conseguem executar comandos prejudiciais no servidor através de um recurso específico. Isso permite que atacantes assumam controle total do sistema afetado.

Detalhe técnico

Existe uma vulnerabilidade de Injeção de Comando OS no endpoint `/plugin/CloneSite/cloneClient.json.php` que permite a usuários autenticados injetar e executar comandos arbitrários do sistema operacional com privilégios do servidor. A falha possibilita Execução Remota de Código (RCE) com apenas autenticação como pré-condição. Corrigido na versão 12.4.

Resumo gerado e traduzido por IA a partir da descrição oficial.

AVideo is an open source video platform. Prior to version 12.4, an OS Command Injection vulnerability in an authenticated endpoint `/plugin/CloneSite/cloneClient.json.php` allows attackers to achieve Remote Code Execution. This issue is fixed in version 12.4.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

WWBN · AVideo

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/WWBN/AVideo/security/advisories/GHSA-6vrj-ph27-qfp3