CVE-2026-45731

Nome do Software Vulnerável e Versões Afetadas AVideo versões 29.0 e anteriores

Descrição Existe um problema no endpoint 'view/update.php' onde o parâmetro updateFile é processado como um caminho relativo sob o diretório 'updatedb/' e passado para a função file() do PHP para execução linha por linha durante migrações de banco de dados. Como a variável updateFile é concatenada em um caminho sem sanitização, um administrador autenticado pode usar a travessia de diretório (path traversal) para ler arquivos de texto arbitrários acessíveis pelo processo do servidor web, como arquivos '/etc/passwd' ou '.env'.

Recomendações Atualize o AVideo para uma versão posterior à 29.0. Como medida paliativa temporária, restrinja o acesso ao endpoint 'view/update.php' apenas aos administradores mais confiáveis.