WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 26.0 конечная точка listFiles.json.php принимала параметр POST path и передавала его непосредственно в glob(), не ограничивая путь разрешенным базовым каталогом. Аутентифицированный загрузчик может перемещаться по всей файловой системе сервера, предоставляя произвольные абсолютные пути, перечисляя имена файлов `.mp4` и их полные абсолютные пути к файловой системе, где бы они ни находились на сервере, включая местоположения за пределами корневого веб-сайта, такие как частные или премиум-каталоги мультимедиа.
Версия 26.0 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. Prior to version 26.0, the `listFiles.json.php` endpoint accepts a `path` POST parameter and passes it directly to `glob()` without restricting the path to an allowed base directory. An authenticated uploader can traverse the entire server filesystem by supplying arbitrary absolute paths, enumerating `.mp4` filenames and their full absolute filesystem paths wherever they exist on the server — including locations outside the web root, such as private or premium media directories. Version 26.0 contains a patch for the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1