CVE-2026-29058
AVideo: Unauthenticated OS Command Injection via base64Url in objects/getImage.php
Em resumo
O AVideo permite que qualquer pessoa execute comandos perigosos no servidor sem fazer login. Um atacante pode assumir o controle total do servidor, roubar segredos e derrubá-lo.
Detalhe técnico
Injeção de comando OS não autenticada em objects/getImage.php através do parâmetro GET base64Url permite execução arbitrária de comando shell via substituição de comando. Nenhuma autenticação é necessária; a exploração resulta em comprometimento completo do servidor, roubo de credenciais e interrupção de serviço. Corrigido na versão 7.0.
Resumo gerado e traduzido por IA a partir da descrição oficial.
AVideo is a video-sharing Platform software. Prior to version 7.0, an unauthenticated attacker can execute arbitrary OS commands on the server by injecting shell command substitution into the base64Url GET parameter. This can lead to full server compromise, data exfiltration (e.g., configuration secrets, internal keys, credentials), and service disruption. This issue has been patched in version 7.0.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
WWBN · AVideo-EncoderQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →