Execució remota de codi de PhotoShow 3.0 mitjançant la injecció de ruta d’Exiftran
29/12/2025
CVE-2023-53981
ALT (8,8)
CVSS3: 0,0
PhotoShow 3.0 conté una vulnerabilitat d’execució remota de codi que permet que els administradors autenticats injectin ordres malicioses a través de la configuració de la ruta exiftran. Els atacants poden explotar els paràmetres de configuració de ffmpeg i codificar en base64 una ordre de shell inversa i executar-la a través d’un procés de càrrega de vídeo dissenyat.
post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}
Sistemes Afectats
- thibaud-rohmer PhotoShow 3.0
Remediació
Vegeu-ne les Referències.
Referències
- https://www.exploit-db.com/exploits/51236
- https://lscp.llc/index.php/2021/07/19/how-white-box-hacking-works-remote-code-execution-and-stored-xss-in-photoshow-3-0/
- https://github.com/thibaud-rohmer/PhotoShow
- https://www.vulncheck.com/advisories/photoshow-remote-code-execution-via-exiftran-path-injection
