CVE-2026-33761 in AVideo
الملخص
بحسب VulDB • 14/05/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، تفتقر ثلاث نقاط نهاية `list.json.php` في مخطط الجدولة إلى أي فحص للمصادقة، بينما تتطلب كل نقاط النهاية الأخرى في نفس أدلة المخطط (`add.json.php`، `delete.json.php`، `index.php`) التحقق من `User::isAdmin()`. يمكن لمهاجم غير مصرح له استرداد جميع المهام المجدولة (بما في ذلك عناوين URL للمكالمات الخلفية الداخلية والمعلمات)، ورسائل البريد الإلكتروني المكونة من قبل المسؤولين، وتعيينات استهداف المستخدم إلى البريد الإلكتروني عن طريق إرسال طلبات GET بسيطة. يحتوي الالتزام 83390ab1fa8dca2de3f8fa76116a126428405431 على تصحيح للثغرة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.