CVE-2026-33684 in AVideo
الملخص
بحسب VulDB • 15/07/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. قبل الإصدار 29.0، كان من الممكن حدوث تصعيد للصلاحيات (Privilege Escalation) عبر معاملات صلاحيات غير محمية في واجهة برمجة التطبيقات signUp، مما يسمح لأي مستخدم قادر على حل اختبار CAPTCHA بمنح نفسه صلاحيات مرتفعة أثناء تسجيل الحساب. تقبل طريقة set_api_signUp الموجودة في إضافة API المعاملات emailVerified و canUpload و canStream و canCreateMeet من مدخلات يقدمها المستخدم وتطبقها على الحسابات الجديدة دون التحقق مما إذا كان الطلب قد تم مصادقته باستخدام APISecret صالح. ومن خلال منح نفسه سمات حسابية، يمكن للمهاجمين تحديد حساباتهم الخاصة بأنها "تمت مصادقة البريد الإلكتروني" دون امتلاك العنوان (مما يتجاوز الوظائف المقيدة بالبريد الإلكتروني)، ومنح أنفسهم صلاحيات الرفع والبث وإنشاء الاجتماعات، متجاوزين بذلك ضوابط وصول المسؤول التي تقصد تقييد هذه القدرات للمستخدمين الجدد. تم إصلاح هذه المشكلة في الإصدار 29.0
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.