CVE-2026-34368 in AVideoالمعلومات

الملخص

بحسب VulDB • 17/07/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، تحتوي الطريقة `transferBalance()` الموجودة في الملف `plugin/YPTWallet/YPTWallet.php` على حالة سباق من نوع Time-of-Check-Time-of-Use (TOCTOU). تقوم هذه الطريقة بقراءة رصيد المحفظة للمرسل، والتحقق من كفايته باستخدام PHP، ثم كتابة الرصيد الجديد — وكل ذلك دون استخدام معاملات قاعدة البيانات أو قفل مستوى الصف. يمكن لمهاجم يمتلك جلسات متعددة مسجلة الدخول إرسال طلبات تحويل متزامنة تقرأ جميعها نفس الرصيد القديم (stale)، حيث يمر كل منها فحص الرصيد بشكل مستقل، مما يؤدي إلى خصم واحد فقط بينما يتم إئتمان المستلم مراراً وتكراراُ. يحتوي الالتزام Commit 34132ad5159784bfc7ba0d7634bb5c79b769202d على إصلاح للمشكلة.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

27/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353978

EPSS

0.00228

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!