WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 26.0 и более ранних версиях сценарий установки AVideo install/deleteSystemdPrivate.php содержит ошибку приоритета операторов PHP в защите доступа только для CLI. Сценарий предназначен для запуска исключительно из командной строки, но защитное условие !php_sapi_name() === 'cli' никогда не принимает значение true из-за того, как PHP определяет приоритет операторов. ! (логическое НЕ) связывается более жестко, чем === (строгое сравнение), в результате чего выражение всегда оценивается как ложное, что означает, что оператор die() никогда не выполняется.
В результате сценарий доступен через HTTP без аутентификации и удалит файлы из временного каталога сервера, а также раскроет содержимое временного каталога в своем ответе. На момент публикации общедоступных патчей нет.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions 26.0 and prior, the AVideo installation script install/deleteSystemdPrivate.php contains a PHP operator precedence bug in its CLI-only access guard. The script is intended to run exclusively from the command line, but the guard condition !php_sapi_name() === 'cli' never evaluates to true due to how PHP resolves operator precedence. The ! (logical NOT) operator binds more tightly than === (strict comparison), causing the expression to always evaluate to false, which means the die() statement never executes. As a result, the script is accessible via HTTP without authentication and will delete files from the server's temp directory while also disclosing the temp directory contents in its response. At time of publication, there are no publicly available patches.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|