CVE-2026-46337

Nome do Software Vulnerável e Versões Afetadas AVideo versões 29.0 e anteriores

Descrição Um invasor remoto não autenticado pode ler arquivos de imagem arbitrários no disco que o usuário PHP tenha permissão para abrir. Isso inclui fotos privadas de perfil de usuário protegidas por Listas de Controle de Acesso (ACLs), miniaturas carregadas por administradores, quadros de pôster de vídeos criptografados e conteúdo de imagem em diretórios de aplicativos irmãos. O problema é causado por uma falha de travessia de caminho (path traversal), onde a aplicação não filtra segmentos .. nem valida o caminho de destino, permitindo o acesso a arquivos fora do diretório pretendido. A falha está localizada no endpoint "/view/img/image404Raw.php" através do parâmetro image, que é passado diretamente para a função readfile(). A aplicação utiliza getimagesize() para verificar se um arquivo é uma imagem, mas isso apenas checa os magic bytes (cabeçalhos do arquivo) e não restringe o caminho do arquivo. Além disso, o uso de $ SERVER["REQUEST URI"] como alternativa quando o parâmetro image está vazio aumenta a superfície de ataque.

Recomendações Para as versões 29.0 e anteriores, implemente as seguintes medidas de segurança no endpoint "/view/img/image404Raw.php":