CVE-2026-34369 in AVideoالمعلومات

الملخص

بحسب VulDB • 28/06/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 وشاملة لها، تُرجع نقاط نهاية واجهة برمجة التطبيقات (API) `get_api_video_file` و`get_api_video` في AVideo مصادر تشغيل الفيديو الكاملة (روابط MP4 المباشرة، وقوائم تشغيل HLS) للفيديوهات المحمية بكلمة مرور دون التحقق من كلمة المرور الخاصة بالفيديو. بينما يفرض مسار التشغيل العادي عبر الويب عمليات فحص لكلمات المرور باستخدام الخطاف `CustomizeUser::getModeYouTube()`، فإن هذا الإلزام غائب تمامًا عن مسار كود واجهة برمجة التطبيقات (API). يمكن لمهاجم غير مصرح له استرداد روابط تشغيل مباشرة لأي فيديو محمي بكلمة مرور من خلال استدعاء واجهة برمجة التطبيقات (API) بشكل مباشر. يُصلح الالتزام be344206f2f461c034ad2f1c5d8212dd8a52b8c7 هذه المشكلة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

27/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354004

EPSS

0.00376

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!