Websecnl

**Nome do software vulnerável e versões afetadas** QuickBox Pro versões 2.5.8 e anteriores **Descrição** A vulnerabilidade permite a execução remota de código devido a uma variável no arquivo config.php que recebe um valor de parâmetro GET e o analisa na função `shell exec()` sem sanitizar adequadamente os argumentos do shell. Como o servidor de mídia é executado como root por padrão, invasores podem usar o comando `sudo` dentro dessa função `shell exec()`, possibilitando a escalada de privilégios por meio da execução remota de código. **Recomendações** Para as versões 2.5.8 e anteriores, considere desativar a função `shell exec()` no arquivo config.php até que um patch esteja disponível para impedir a execução remota de código. Restrinja o acesso ao arquivo config.php para minimizar o risco de exploração. Evite usar o comando `sudo` dentro da função `shell exec()` nas versões afetadas.