CRITICAL🇬🇧 English

CVE-2026-41064

WWBN AVideo — niekompletna naprawa command injection w test.php

CVSS 9.3v3.1pub. 2026-04-22upd. 2026-04-24

WWBN AVideo w wersjach do 29.0 włącznie zawiera podatność typu command injection w pliku `test.php`, gdzie wcześniejsza próba naprawy była niekompletna — zabezpieczono jedynie ścieżkę kodu korzystającą z `wget`, pozostawiając ścieżki `file_get_contents` oraz `curl` bez odpowiedniej sanityzacji danych wejściowych. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia i może być wykorzystana zdalnie.

Pokaż oryginał (EN)

WWBN AVideo is an open source video platform. In versions up to and including 29.0, an incomplete fix for AVideo's `test.php` adds `escapeshellarg` for wget but leaves the `file_get_contents` and `curl` code paths unsanitized, and the URL validation regex `/^http/` accepts strings like `httpevil[.]com`. Commit 78bccae74634ead68aa6528d631c9ec4fd7aa536 contains an updated fix.

🤖 Analiza AI
Jak działa

Niekompletna naprawa zastosowała funkcję `escapeshellarg` wyłącznie dla wywołań `wget`, natomiast ścieżki kodu oparte na `file_get_contents` i `curl` pozostają podatne na wstrzyknięcie złośliwych danych. Dodatkowo walidacja URL opiera się na wyrażeniu regularnym `/^http/`, które akceptuje ciągi znaków takie jak `httpevil[.]com` — bez faktycznej weryfikacji prawidłowości domeny. Atakujący może spreparować odpowiednio złośliwy URL, który ominą walidację i doprowadzi do wykonania niezamierzonych poleceń systemowych poprzez niezabezpieczone ścieżki kodu.

Skutki

Nieuprawniony, zdalny atakujący może wykonać dowolne polecenia systemowe na serwerze (RCE/command injection), co może skutkować ujawnieniem poufnych danych lub modyfikacją zasobów systemu.

Mitygacja

Należy zastosować poprawkę zawartą w commicie 78bccae74634ead68aa6528d631c9ec4fd7aa536 dostępnym w repozytorium GitHub projektu WWBN AVideo. Zaleca się aktualizację do wersji zawierającej tę poprawkę oraz weryfikację, czy wcześniejszy commit (1e6cf03e93b5a5318204b010ea28440b0d9a5ab3) nie jest jedyną zastosowaną łatką.

Kogo dotyczy

WWBN AVideo w wersjach do 29.0 włącznie

Uwagi

Podatność wynika z niekompletnej naprawy wcześniej zgłoszonej podatności (powiązane advisory: GHSA-pq8p-wc4f-vg7j). Kompletna poprawka została wprowadzona w commicie 78bccae74634ead68aa6528d631c9ec4fd7aa536.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N
  • Wwbn Avideo

    APP
    Wwbn
    ≤ 29.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2026-40911CRITICAL10.0PL ✓ten sam produkt

WWBN AVideo: RCE przez eval() w pluginie YPTSocket — przejęcie kont

CVE-2026-34374CRITICAL9.1PL ✓ten sam produkt

SQL Injection w WWBN AVideo — mechanizm uwierzytelniania RTMP

CVE-2026-33867CRITICAL9.1PL ✓ten sam produkt

WWBN AVideo: hasła do filmów przechowywane w bazie jako plaintext

CVE-2026-33351CRITICAL9.1PL ✓ten sam produkt

SSRF w WWBN AVideo — brak walidacji parametru URL w saveDVR.json.php

CVE-2026-33478CRITICAL10.0PL ✓ten sam produkt

RCE bez uwierzytelnienia w WWBN AVideo — łańcuch podatności w pluginie CloneSite

CVE-2026-41064 — WWBN AVideo — niekompletna naprawa command injection w test.php — CRITICAL 9.3 | CVEbaza.pl