CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45731

MediumCVSS 4.9
Published: Updated: Translated: NVD NIST

Summary

WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, plik view/update.php odczytuje $_POST['updateFile'] jako ścieżkę względną w katalogu updatedb/ i przekazuje ją do funkcji file() w PHP, co umożliwia wykonanie jej linia po linii w ramach migracji bazy danych.

Risk Assessment

Zagrożenie polega na tym, że uwierzytelniony administrator może wykorzystać tę podatność do odczytu dowolnych plików tekstowych dostępnych dla procesu serwera WWW, co może prowadzić do ujawnienia wrażliwych informacji.

Recommendation

Zaleca się aktualizację do najnowszej wersji AVideo, aby usunąć tę podatność oraz ograniczenie dostępu do funkcji aktualizacji tylko dla zaufanych administratorów.

Original NVD description (English source)

WWBN AVideo is an open source video platform. In 29.0 and earlier, view/update.php reads $_POST['updateFile'] as a relative path under updatedb/ and passes it to PHP's file() for line-by-line execution as part of a database migration. An authenticated administrator can abuse this to read arbitrary text files reachable from the web-server process.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS