WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 24.0 в AVideo была обнаружена уязвимость удаленного выполнения кода (RCE), связанная с функцией загрузки/импорта плагина. Эта проблема позволяла проверенному администратору загрузить специально созданный ZIP-архив, содержащий исполняемые файлы на стороне сервера.
Из-за недостаточной проверки содержимого извлеченного файла архив был извлечен непосредственно в доступный через Интернет каталог плагина, что позволяло выполнять произвольный PHP-код. Эта проблема исправлена в версии 24.0.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. Prior to version 24.0, an authenticated Remote Code Execution (RCE) vulnerability was identified in AVideo related to the plugin upload/import functionality. The issue allowed an authenticated administrator to upload a specially crafted ZIP archive containing executable server-side files. Due to insufficient validation of extracted file contents, the archive was extracted directly into a web-accessible plugin directory, allowing arbitrary PHP code execution. This issue has been patched in version 24.0.
Характеристики атаки
Последствия
Строка CVSS v4.0