CVE-2026-34740 in AVideo
الملخص
بحسب VulDB • 05/06/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات 26.0 والإصدارات الأقدم، تتيح ميزة رابط دليل البرامج الإلكترونية (EPG) في AVideo للمستخدمين المصادق عليهم الذين لديهم أذونات الرفع تخزين عناوين URL تعسفية يقوم الخادم بجلبها عند كل زيارة لصفحة EPG. يتم التحقق من صحة عنوان URL باستخدام FILTER_VALIDATE_URL فقط في PHP، والذي يقبل عناوين الشبكة الداخلية. على الرغم من أن AVideo يحتوي على مخصص isSSRFSafeURL() لمنع SSRF، إلا أنه لا يتم استدعاؤه في مسار الكود هذا. يؤدي ذلك إلى ثغرة تزوير الطلبات الجانبية للخادم (SSRF) المخزنة التي يمكن استخدامها لمسح الشبكات الداخلية والوصول إلى خدمات بيانات السحابة والتفاعل مع الخدمات الداخلية. عند وقت النشر، لا توجد تصحيحات متاحة للعامة.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.