CVE-2026-45578

Nome do Software Vulnerável e Versões Afetadas WWBN AVideo versões 29.0 e anteriores

Descrição Uma injeção de metacaracteres de shell existe no ramo de notificação YPTSocket dentro do arquivo plugin/Live/on publish.php. A aplicação constrói uma linha de comando para a função execAsync() usando concatenação de strings e aspas simples literais em vez de utilizar a função escapeshellarg(). Isso permite que um invasor feche o token entre aspas inserindo uma aspa simples nas variáveis $users id, $m3u8 ou $obj->liveTransmitionHistory id, possibilitando a execução de comandos arbitrários do sistema operacional com os privilégios do usuário de execução do servidor web.

O problema é acessível através de uma requisição HTTP POST direta para o endpoint "/plugin/Live/on publish.php".

Recomendações Atualize para uma versão onde a função escapeshellarg() seja aplicada a todas as variáveis interpoladas na string de comando em plugin/Live/on publish.php. Como mitigação temporária, restrinja o acesso ao endpoint "/plugin/Live/on publish.php" para permitir apenas requisições de 127.0.0.1 e IPs de servidores RTMP configurados via .htaccess ou regras de localização do nginx.