CVE-2026-29058

Nome do Software Vulnerável e Versões Afetadas AVideo versões anteriores à 7.0

Descrição AVideo é uma plataforma de compartilhamento de vídeos suscetível a Execução Remota de Código sem Autenticação (RCE). Um atacante pode injetar substituição de comando de shell no parâmetro GET base64Url, possivelmente levando ao comprometimento completo do servidor, exfiltração de dados e interrupção do serviço. O problema reside na manipulação inadequada da entrada fornecida pelo usuário em comandos de shell, especificamente nos arquivos objects/getImage.php e objects/security.php, utilizando funções como shell exec e nohup. A causa raiz é a falta de escape adequado de shell ao decodificar e interpolar o parâmetro base64Url em comandos de shell. A validação FILTER VALIDATE URL não impede que metacaracteres de shell sejam interpretados pelo shell.

Recomendações Atualize para a versão 7.0 para resolver o problema. Restrinja o acesso ao arquivo objects/getImage.php na camada do servidor web ou proxy reverso. Aplique regras de Web Application Firewall (WAF) para bloquear padrões suspeitos e limitar a exposição.