CVE-2026-33764 in AVideo
الملخص
بحسب VulDB • 29/05/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، يقوم نقطة النهاية `save.json.php` الخاصة بإضافة الذكاء الاصطناعي (AI plugin) بتحميل كائنات استجابة الذكاء الاصطناعي باستخدام معلمة `$_REQUEST['id']` التي يتحكم فيها المهاجم، دون التحقق من صحة أن استجابة الذكاء الاصطناعي تنتمي إلى الفيديو المحدد. يمكن لمستخدم مُصادق عليه يمتلك صلاحيات الذكاء الاصطناعي الإشارة إلى أي معرف لاستجابة الذكاء الاصطناعي — بما في ذلك تلك التي تم إنشاؤها لفيديوهات خاصة لمستخدمين آخرين — وتطبيق المحتوى المسروق الذي تم إنشاؤه بواسطة الذكاء الاصطناعي (العناوين، الوصف، الكلمات المفتاحية، الملخصات، أو النصوص الكاملة) على الفيديو الخاص به، مما يؤدي فعلياً إلى استخراج المعلومات. يحتوي الالتزام aa2c46a806960a0006105df47765913394eec142 على تصحيح للثغرة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.