Pubblicato il 2026-07-16 · Fonte: NVD NIST
La vulnerabilità CVE-2026-63304 è una vulnerabilità di iniezione di comandi OS presente in AVideo, che consente agli attaccanti di eseguire comandi OS arbitrari come utente del web server. Ciò avviene a causa della mancanza di sanitizzazione dei parametri di input nella funzione listFFmpegProcesses() in plugin/API/standAlone/functions.php. La vulnerabilità è classificata come CWE-78 e ha un CVSS Score di 8.1, indicando un impatto alto.
Un attaccante che può creare un payload di codeToExec valido e cifrato può sfruttare questa vulnerabilità per eseguire comandi OS arbitrari come utente del web server, potenzialmente compromettendo la sicurezza del sistema. I sistemi a rischio sono quelli che utilizzano AVideo e non hanno applicato le necessarie misure di sicurezza.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di applicare patch di sicurezza o di utilizzare workaround come la validazione e la sanitizzazione dei parametri di input. Inoltre, è importante mantenere il software aggiornato e applicare le configurazioni di sicurezza raccomandate. In assenza di informazioni specifiche sulla patch, è consigliabile adottare pratiche di sicurezza generali come il monitoraggio delle attività del sistema e la limitazione degli accessi.
La vulnerabilità CVE-2026-63304 è una vulnerabilità di iniezione di comandi OS presente in AVideo che consente l'esecuzione di comandi OS arbitrari come utente del web server.
L'impatto della vulnerabilità è alto, con un CVSS Score di 8.1, e può consentire agli attaccanti di eseguire comandi OS arbitrari come utente del web server.
Per proteggersi da questa vulnerabilità, si consiglia di applicare patch di sicurezza, utilizzare workaround come la validazione e la sanitizzazione dei parametri di input e mantenere il software aggiornato.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.