CVE-2026-41304

Name of the Vulnerable Software and Affected Versions WWBN AVideo versões 29.0 e anteriores

Description O plugin CloneSite contém uma falha onde o endpoint 'cloneServer.json.php' constrói comandos de shell usando o parâmetro url sem a sanitização adequada. Esta entrada é concatenada diretamente em um comando wget executado via função exec(), permitindo a injeção de comandos. Um invasor pode usar metacaracteres de shell para executar comandos de shell arbitrários, levando à Execução Remota de Código (RCE), que é a capacidade de executar qualquer comando na máquina alvo remotamente.

Recommendations Atualize para a versão que contém o commit 473c609fc2defdea8b937b00e86ce88eba1f15bb. Como medida paliativa temporária, restrinja o acesso ao endpoint 'cloneServer.json.php' ou evite usar o parâmetro url no plugin CloneSite até que a atualização seja aplicada.