A security vulnerability has been detected in kalcaddle Kodbox up to 1.64. This issue affects the function parseVideoInfo of the file /workspace/source-code/plugins/fileThumb/lib/VideoResize.class.php of the component fileThumb Plugin. The manipulation of the argument ffmpegBin leads to command injection. It is possible to initiate the attack remotely. The exploit has been disclosed publicly and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
A command injection vulnerability exists in Kodbox fileThumb plugin versions up to 1.64 through the ffmpegBin parameter in VideoResize.class.php. Remote attackers can execute arbitrary commands without authentication, posing a significant risk to file processing systems.
يؤثر هذا الضعف على وظيفة parseVideoInfo في مكون معالجة الفيديو بـ Kodbox، حيث يسمح بحقن أوامر النظام عبر معامل ffmpegBin غير المحقق. يمكن استغلال هذه الثغرة عن بعد دون الحاجة إلى بيانات اعتماد المستخدم، مما يسمح بتنفيذ أوامر عشوائية بصلاحيات تطبيق الويب.
ثغرة حقن أوامر موجودة في مكون fileThumb بـ Kodbox الإصدارات حتى 1.64 عبر معامل ffmpegBin في VideoResize.class.php. يمكن للمهاجمين البعيدين تنفيذ أوامر عشوائية دون مصادقة، مما يشكل خطراً كبيراً على أنظمة معالجة الملفات.
Immediately upgrade Kodbox to version 1.65 or later. If immediate patching is unavailable, disable the fileThumb plugin or restrict access to video processing endpoints using firewall rules and WAF policies. Implement input validation and sanitization for all file upload parameters.
قم بترقية Kodbox فوراً إلى الإصدار 1.65 أو أحدث. إذا لم يكن التصحيح الفوري متاحاً، قم بتعطيل مكون fileThumb أو تقييد الوصول إلى نقاط نهاية معالجة الفيديو باستخدام قواعد جدار الحماية. تطبيق التحقق من صحة المدخلات وتنظيفها لجميع معاملات تحميل الملفات.