CVE-2026-39369

Name of the Vulnerable Software and Affected Versions WWBN AVideo versões 26.0 e anteriores

Description WWBN AVideo, uma plataforma de vídeo de código aberto, apresenta uma falha no arquivo aVideoEncoderReceiveImage.json.php. Um uploader autenticado pode buscar URLs controlados por um invasor, ignorando a limpeza de travessia e expondo arquivos locais do servidor por meio do caminho de armazenamento do pôster GIF. Isso permite ler arquivos locais, como /etc/passwd ou arquivos de código-fonte da aplicação, e republicar seu conteúdo por meio de uma URL de mídia GIF pública.

Recommendations Atualize para uma versão do WWBN AVideo posterior à 26.0.