Vulnerabilidad en AVideo de WWBN (CVE-2026-33482)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

23/03/2026

Última modificación:

24/03/2026

Descripción

WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, la función &#39;sanitizeFFmpegCommand()&#39; en &#39;plugin/API/standAlone/functions.php&#39; está diseñada para prevenir la inyección de comandos del sistema operativo en comandos ffmpeg eliminando metacaracteres peligrosos del shell (&#39;&amp;&amp;&#39;, &#39;;&#39;, &#39;|&#39;, &#39;`&#39;, &#39;&lt;&#39;, &#39;&gt;&#39;). Sin embargo, no logra eliminar &#39;$()&#39; (sintaxis de sustitución de comandos de bash). Dado que el comando saneado se ejecuta dentro de un contexto &#39;sh -c&#39; entre comillas dobles en &#39;execAsync()&#39;, un atacante que puede crear una carga útil cifrada válida puede lograr la ejecución arbitraria de comandos en el servidor codificador independiente. El commit 25c8ab90269e3a01fb4cf205b40a373487f022e1 contiene un parche.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto