CVE-2026-33237 in AVideoinfo

Zusammenfassung

von VulDB • 02.06.2026

WWBN AVideo ist eine Open-Source-Videoplattform. Vor Version 26.0 ruft die `run()`-Funktion des Scheduler-Plugins in `plugin/Scheduler/Scheduler.php` `url_get_contents()` mit einer admin-konfigurierbaren `callbackURL` auf, die nur durch `isValidURL()` (URL-Formatprüfung) validiert wird. Im Gegensatz zu anderen AVideo-Endpunkten, die kürzlich für SSRF gepatcht wurden (GHSA-9x67-f2v7-63rw, GHSA-h39h-7cvg-q7j6), wird die Callback-URL des Schedulers niemals durch `isSSRFSafeURL()` geleitet, das Anfragen an RFC-1918-Private-Adressen, Loopback-Adressen und Cloud-Metadata-Endpunkte blockiert. Ein Administrator kann eine geplante Aufgabe mit einer `callbackURL` des internen Netzwerks konfigurieren, um SSRF gegen Cloud-Infrastruktur-Meta-Dienste oder interne APIs durchzuführen, die sonst nicht vom Internet aus erreichbar sind. Version 26.0 enthält einen Patch für das Problem.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

18.03.2026

Veröffentlichung

21.03.2026

Moderieren

akzeptiert

Eintrag

VDB-352235

CPE

bereit

EPSS

0.00021

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33237
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33237
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33237/

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!