PT-2024-13828 · Wwbn · Avideo
Claudio Bozzato
·
Publicado
2024-01-10
·
Atualizado
2024-01-16
·
CVE-2023-49864
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
WWBN AVideo dev master commit 15fed957fb
Descrição
Existe uma vulnerabilidade de divulgação de informações na funcionalidade de upload de imagens do arquivo aVideoEncoderReceiveImage.json.php. Uma solicitação HTTP especialmente criada pode levar à leitura arbitrária de arquivos. Essa vulnerabilidade é desencadeada pelo parâmetro
downloadURL image.Recomendações
Como solução temporária, considere restringir o acesso à funcionalidade aVideoEncoderReceiveImage.json.php até que uma correção esteja disponível. Evite usar o parâmetro
downloadURL image na funcionalidade de upload de imagens afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Avideo