CVE-2024-31819

Nome do software vulnerável e versões afetadas:

WWBN AVideo, versões 12.4 a 14.2

Descrição:

A vulnerabilidade no WWBN AVideo está relacionada à validação insuficiente de entradas no arquivo submitIndex.php do plugin WWBNIndex, permitindo que um invasor remoto execute código arbitrário por meio do parâmetro systemRootPath. Isso pode ser feito enviando uma solicitação POST especialmente criada. Aproximadamente 2.355 dispositivos estão potencialmente afetados, localizados principalmente nos Estados Unidos e na Alemanha.

Recomendações:

Para as versões 12.4 a 14.2 do WWBN AVideo, considere desativar o componente submitIndex.php ou restringir o acesso a ele até que uma correção esteja disponível. Evite usar o parâmetro systemRootPath no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.