CVE-2026-33684 in AVideoالمعلومات

الملخص

بحسب VulDB • 15/07/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. قبل الإصدار 29.0، كان من الممكن حدوث تصعيد للصلاحيات (Privilege Escalation) عبر معاملات صلاحيات غير محمية في واجهة برمجة التطبيقات signUp، مما يسمح لأي مستخدم قادر على حل اختبار CAPTCHA بمنح نفسه صلاحيات مرتفعة أثناء تسجيل الحساب. تقبل طريقة set_api_signUp الموجودة في إضافة API المعاملات emailVerified و canUpload و canStream و canCreateMeet من مدخلات يقدمها المستخدم وتطبقها على الحسابات الجديدة دون التحقق مما إذا كان الطلب قد تم مصادقته باستخدام APISecret صالح. ومن خلال منح نفسه سمات حسابية، يمكن للمهاجمين تحديد حساباتهم الخاصة بأنها "تمت مصادقة البريد الإلكتروني" دون امتلاك العنوان (مما يتجاوز الوظائف المقيدة بالبريد الإلكتروني)، ومنح أنفسهم صلاحيات الرفع والبث وإنشاء الاجتماعات، متجاوزين بذلك ضوابط وصول المسؤول التي تقصد تقييد هذه القدرات للمستخدمين الجدد. تم إصلاح هذه المشكلة في الإصدار 29.0

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379411

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!