WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка `objects/import.json.php` принимает управляемый пользователем параметр POST `fileURI` с только регулярной проверкой того, что значение заканчивается на `.mp4`. В отличие от `objects/listFiles.json.php`, который был усилен с помощью `realpath()` + проверки префикса каталога для ограничения путей к каталогу `videos/`, `import.json.php` не выполняет никаких ограничений каталога.
Это позволяет аутентифицированному пользователю с разрешением на загрузку: (1) красть личные видеофайлы других пользователей, импортируя их в свою учетную запись, (2) читать файлы `.txt`/`.html`/`.htm`, расположенные рядом с любым файлом `.mp4` в файловой системе, и (3) удалять `.mp4` и соседние текстовые файлы, если они доступны для записи процессом веб-сервера. Коммит e110ff542acdd7e3b81bdd02b8402b9f6a61ad78 содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `objects/import.json.php` endpoint accepts a user-controlled `fileURI` POST parameter with only a regex check that the value ends in `.mp4`. Unlike `objects/listFiles.json.php`, which was hardened with a `realpath()` + directory prefix check to restrict paths to the `videos/` directory, `import.json.php` performs no directory restriction. This allows an authenticated user with upload permission to: (1) steal any other user's private video files by importing them into their own account, (2) read `.txt`/`.html`/`.htm` files adjacent to any `.mp4` file on the filesystem, and (3) delete `.mp4` and adjacent text files if writable by the web server process. Commit e110ff542acdd7e3b81bdd02b8402b9f6a61ad78 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|