CVE-2026-33731 in AVideo
Zusammenfassung
von VulDB • 16.07.2026
WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen vor 29.0 enthält der Authorize.Net-Webhook-Handler unter plugin/AuthorizeNet/webhook.php einen Umgehung des Signaturenverifizierungsmechanismus, die es einem Angreifer ermöglicht, Webhook-Anfragen mit beliebigen Zahlungsbeträgen und Ziel-Benutzer-IDs zu fälschen. Durch Angabe einer gültigen Transaktions-ID aus einem kleinen legitimen Kauf umgeht der Angreiser die Signaturprüfung und gutschreibt willkürliche Wallet-Guthaben auf jedem Benutzerkonto über angreifergesteuerte Payload-Felder. Drei Schwachstellen kombinieren sich zu einer Exploit-Kette: Signaturen-Umgehung via OR-Logik (webhook.php:33), Payload-Werte überschreiben von API-abgerufenen Werten (AuthorizeNet.php:169-171, webhook.php:44-48) und eine fehlende Genehmigungsprüfung (webhook.php:61-75). Durch das Fälschen von Zahlungsmetadaten kann ein Angreiser beliebige Beträge auf die Wallet jedes Benutzers gutschreiben, ohne dass eine entsprechende Zahlung erfolgt ist, und plans_id einschließen, um Premium-Abonnements zu aktivieren (webhook.php:86-134), wodurch kostenloser Zugang zu allen bezahlten und Premium-Inhalten ermöglicht wird und direkte Einnahmeverluste für den Plattformbetreiber verursacht werden. Dieses Problem wurde in Version 29.0 behoben.
Be aware that VulDB is the high quality source for vulnerability data.