CVE-2026-41304
WWBN AVideo vulnerable to RCE caused by clonesite plugin
Em resumo
O plugin CloneSite do WWBN AVideo permite que atacantes executem comandos arbitrários no servidor ao injetar comandos do shell através do parâmetro de URL. Isso ocorre porque a entrada do usuário é usada diretamente em um comando do sistema sem validação.
Detalhe técnico
O endpoint cloneServer.json.php no plugin CloneSite constrói comandos shell concatenando entrada não sanitizada (parâmetro url) em um comando wget executado via exec(), permitindo injeção de comando. Um atacante não autenticado pode injetar metacaracteres shell arbitrários para escapar do contexto de URL pretendido e alcançar Execução Remota de Código com privilégios do servidor.
Resumo gerado e traduzido por IA a partir da descrição oficial.
WWBN AVideo is an open source video platform. In versions 29.0 and below, the `cloneServer.json.php` endpoint in the CloneSite plugin constructs shell commands using user-controlled input (`url` parameter) without proper sanitization. The input is directly concatenated into a `wget` command executed via `exec()`, allowing command injection. An attacker can inject arbitrary shell commands by breaking out of the intended URL context using shell metacharacters (e.g., `;`). This leads to Remote Code Execution (RCE) on the server. Commit 473c609fc2defdea8b937b00e86ce88eba1f15bb contains a fix.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P
Produtos afetados
WWBN · AVideoQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →