WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно функция `sanitizeFFmpegCommand()` в `plugin/API/standAlone/functions.php` предназначена для предотвращения внедрения команд ОС в команды ffmpeg путем удаления опасных метасимволов оболочки (`&&`, `;`, `|`, `` ` ``, `<`, `>`). Однако ему не удается удалить `$()` (синтаксис подстановки команд bash).
Поскольку очищенная команда выполняется внутри контекста `sh -c` в двойных кавычках в `execAsync()`, злоумышленник, который может создать действительные зашифрованные полезные данные, может добиться выполнения произвольной команды на автономном сервере кодировщика. Коммит 25c8ab90269e3a01fb4cf205b40a373487f022e1 содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `sanitizeFFmpegCommand()` function in `plugin/API/standAlone/functions.php` is designed to prevent OS command injection in ffmpeg commands by stripping dangerous shell metacharacters (`&&`, `;`, `|`, `` ` ``, `<`, `>`). However, it fails to strip `$()` (bash command substitution syntax). Since the sanitized command is executed inside a double-quoted `sh -c` context in `execAsync()`, an attacker who can craft a valid encrypted payload can achieve arbitrary command execution on the standalone encoder server. Commit 25c8ab90269e3a01fb4cf205b40a373487f022e1 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1