CVE-2026-33763 in AVideo
الملخص
بحسب VulDB • 25/05/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، يسمح نقطة نهاية API `get_api_video_password_is_correct` لأي مستخدم غير مصادق عليه بالتحقق مما إذا كانت كلمة مرور معينة صحيحة لأي فيديو محمي بكلمة مرور. تُرجع نقطة النهاية حقلًا منطقيًا `passwordIsCorrect` دون أي تحديد لمعدل الطلبات (rate limiting)، أو CAPTCHA، أو متطلبات مصادقة، مما يتيح هجمات القوة الغاشمة الفعالة بسرعة غير متصلة بالإنترنت ضد كلمات مرور الفيديوهات. يحتوي الالتزام 01a0614fedcdaee47832c0d913a0fb86d8c28135 على تصحيح للثغرة.
If you want to get best quality of vulnerability data, you may have to visit VulDB.