WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка aVideoEncoderChunk.json.php представляет собой полностью автономный PHP-скрипт без аутентификации, без включения фреймворка и без ограничений ресурсов. Неаутентифицированный удаленный злоумышленник может отправлять произвольные данные POST, которые записываются в постоянные временные файлы в `/tmp/` без ограничения размера, без ограничения скорости и без механизма очистки.
Это может привести к банальному исчерпанию дискового пространства, ведущему к отказу в обслуживании всего сервера. Коммит 33d1bae6c731ef1682fcdc47b428313be073a5d1 содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `aVideoEncoderChunk.json.php` endpoint is a completely standalone PHP script with no authentication, no framework includes, and no resource limits. An unauthenticated remote attacker can send arbitrary POST data which is written to persistent temp files in `/tmp/` with no size cap, no rate limiting, and no cleanup mechanism. This allows trivial disk space exhaustion leading to denial of service of the entire server. Commit 33d1bae6c731ef1682fcdc47b428313be073a5d1 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|