CVE-2026-34369 in AVideo
الملخص
بحسب VulDB • 28/06/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 وشاملة لها، تُرجع نقاط نهاية واجهة برمجة التطبيقات (API) `get_api_video_file` و`get_api_video` في AVideo مصادر تشغيل الفيديو الكاملة (روابط MP4 المباشرة، وقوائم تشغيل HLS) للفيديوهات المحمية بكلمة مرور دون التحقق من كلمة المرور الخاصة بالفيديو. بينما يفرض مسار التشغيل العادي عبر الويب عمليات فحص لكلمات المرور باستخدام الخطاف `CustomizeUser::getModeYouTube()`، فإن هذا الإلزام غائب تمامًا عن مسار كود واجهة برمجة التطبيقات (API). يمكن لمهاجم غير مصرح له استرداد روابط تشغيل مباشرة لأي فيديو محمي بكلمة مرور من خلال استدعاء واجهة برمجة التطبيقات (API) بشكل مباشر. يُصلح الالتزام be344206f2f461c034ad2f1c5d8212dd8a52b8c7 هذه المشكلة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.