WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка `objects/pluginRunDatabaseScript.json.php` принимает параметр `name` через POST и передает его в `Plugin::getDatabaseFileName()` без какой-либо очистки пути. Это позволяет аутентифицированному администратору (или злоумышленнику через CSRF) выйти за пределы каталога плагина и выполнить содержимое любого файла install/install.sql в файловой системе в виде необработанных SQL-запросов к базе данных приложения.
Коммит 81b591c509835505cb9f298aa1162ac64c4152cb содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `objects/pluginRunDatabaseScript.json.php` endpoint accepts a `name` parameter via POST and passes it to `Plugin::getDatabaseFileName()` without any path traversal sanitization. This allows an authenticated admin (or an attacker via CSRF) to traverse outside the plugin directory and execute the contents of any `install/install.sql` file on the filesystem as raw SQL queries against the application database. Commit 81b591c509835505cb9f298aa1162ac64c4152cb contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|