Katalog CVE

CVE-2026-45731

ŚrednieCVSS 4.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, plik view/update.php odczytuje $_POST['updateFile'] jako ścieżkę względną w katalogu updatedb/ i przekazuje ją do funkcji file() w PHP, co umożliwia wykonanie jej linia po linii w ramach migracji bazy danych.

Ocena ryzyka

Zagrożenie polega na tym, że uwierzytelniony administrator może wykorzystać tę podatność do odczytu dowolnych plików tekstowych dostępnych dla procesu serwera WWW, co może prowadzić do ujawnienia wrażliwych informacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji AVideo, aby usunąć tę podatność oraz ograniczenie dostępu do funkcji aktualizacji tylko dla zaufanych administratorów.

Oryginalny opis (angielski, źródło NVD)

WWBN AVideo is an open source video platform. In 29.0 and earlier, view/update.php reads $_POST['updateFile'] as a relative path under updatedb/ and passes it to PHP's file() for line-by-line execution as part of a database migration. An authenticated administrator can abuse this to read arbitrary text files reachable from the web-server process.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS