WWBN AVideo w wersjach do 29.0 włącznie zawiera podatność typu command injection w pliku `test.php`, gdzie wcześniejsza próba naprawy była niekompletna — zabezpieczono jedynie ścieżkę kodu korzystającą z `wget`, pozostawiając ścieżki `file_get_contents` oraz `curl` bez odpowiedniej sanityzacji danych wejściowych. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia i może być wykorzystana zdalnie.
▸ Pokaż oryginał (EN)
WWBN AVideo is an open source video platform. In versions up to and including 29.0, an incomplete fix for AVideo's `test.php` adds `escapeshellarg` for wget but leaves the `file_get_contents` and `curl` code paths unsanitized, and the URL validation regex `/^http/` accepts strings like `httpevil[.]com`. Commit 78bccae74634ead68aa6528d631c9ec4fd7aa536 contains an updated fix.
Niekompletna naprawa zastosowała funkcję `escapeshellarg` wyłącznie dla wywołań `wget`, natomiast ścieżki kodu oparte na `file_get_contents` i `curl` pozostają podatne na wstrzyknięcie złośliwych danych. Dodatkowo walidacja URL opiera się na wyrażeniu regularnym `/^http/`, które akceptuje ciągi znaków takie jak `httpevil[.]com` — bez faktycznej weryfikacji prawidłowości domeny. Atakujący może spreparować odpowiednio złośliwy URL, który ominą walidację i doprowadzi do wykonania niezamierzonych poleceń systemowych poprzez niezabezpieczone ścieżki kodu.
Nieuprawniony, zdalny atakujący może wykonać dowolne polecenia systemowe na serwerze (RCE/command injection), co może skutkować ujawnieniem poufnych danych lub modyfikacją zasobów systemu.
Należy zastosować poprawkę zawartą w commicie 78bccae74634ead68aa6528d631c9ec4fd7aa536 dostępnym w repozytorium GitHub projektu WWBN AVideo. Zaleca się aktualizację do wersji zawierającej tę poprawkę oraz weryfikację, czy wcześniejszy commit (1e6cf03e93b5a5318204b010ea28440b0d9a5ab3) nie jest jedyną zastosowaną łatką.
WWBN AVideo w wersjach do 29.0 włącznie
Podatność wynika z niekompletnej naprawy wcześniej zgłoszonej podatności (powiązane advisory: GHSA-pq8p-wc4f-vg7j). Kompletna poprawka została wprowadzona w commicie 78bccae74634ead68aa6528d631c9ec4fd7aa536.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:NWwbn Avideo
APPWwbn≤ 29.0
Powiązane podatności
WWBN AVideo: RCE przez eval() w pluginie YPTSocket — przejęcie kont
SQL Injection w WWBN AVideo — mechanizm uwierzytelniania RTMP
WWBN AVideo: hasła do filmów przechowywane w bazie jako plaintext
SSRF w WWBN AVideo — brak walidacji parametru URL w saveDVR.json.php
RCE bez uwierzytelnienia w WWBN AVideo — łańcuch podatności w pluginie CloneSite