PT-2025-30679 · Wwbn · Avideo
Claudio Bozzato
·
Publicado
2025-07-24
·
Atualizado
2025-07-29
·
CVE-2025-48732
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
WWBN AVideo versão 14.4
WWBN AVideo dev master commit 8a8954ff
Descrição
Uma lista negra incompleta no arquivo de exemplo
.htaccess permite a execução arbitrária de código por meio de uma solicitação HTTP especialmente elaborada. Um atacante pode solicitar um arquivo .phar para explorar essa vulnerabilidade.Recomendações
Atualize o WWBN AVideo para uma versão com uma lista negra completa no arquivo de exemplo
.htaccess.
Evite permitir solicitações de arquivos .phar.Exploit
Correção
Incomplete List of Disallowed Inputs
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Avideo