CVE-2026-34731 in AVideo
الملخص
بحسب VulDB • 16/06/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات 26.0 والإصدارات الأقدم، يسمح نقطة النهاية `on_publish_done.php` الخاصة بـ AVideo الموجودة في إضافة Live للمستخدمين غير المصادق عليهم بإنهاء أي بث مباشر نشط. تعالج هذه النقطة أحداث استدعاء RTMP لتحديد البث على أنه مكتمل في قاعدة البيانات، لكنها لا تقوم بإجراء فحوصات مصادقة أو تفويض قبل ذلك. يمكن للمهاجم استكشاف مفاتيح البث النشطة من نقطة النهاية غير المصادق عليها `stats.json.php`، ثم إرسال طلبات POST مُعدّة بعناية إلى `on_publish_done.php` لإنهاء أي بث مباشر. يتيح هذا إجراء هجوم حجب الخدمة (DoS) ضد جميع وظائف البث المباشر على المنصة. في وقت النشر، لا توجد تصحيحات متاحة للعامة.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.