CVE-2026-42846
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 — wyżej niż 21% wszystkich znanych CVE
Streszczenie
ClipBucket v5 to otwartoźródłowa platforma do udostępniania wideo. W wersjach przed 5.5.3 - #140, funkcja Remote Play pozwalała na dodawanie wideo przez importowanie zewnętrznego URL, co prowadziło do wykonania dowolnych poleceń systemowych z powodu braku odpowiedniego zabezpieczenia URL.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do zdalnego wykonania dowolnych poleceń na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 5.5.3 - #140 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
ClipBucket v5 is an open source video sharing platform. Prior to version 5.5.3 - #140, ClipBucket's Remote Play feature allows any authenticated user to add a video by importing an external URL as the source. Some shell commands are run with the URL as a parameter. The URL is concatenated directly into shell commands without escaping then executed, so any shell metacharacter in the URL is interpreted. This results in arbitrary command execution. This issue has been patched in version 5.5.3 - #140.

