CVE-2026-33731 in AVideoinfo

Zusammenfassung

von VulDB • 16.07.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen vor 29.0 enthält der Authorize.Net-Webhook-Handler unter plugin/AuthorizeNet/webhook.php einen Umgehung des Signaturenverifizierungsmechanismus, die es einem Angreifer ermöglicht, Webhook-Anfragen mit beliebigen Zahlungsbeträgen und Ziel-Benutzer-IDs zu fälschen. Durch Angabe einer gültigen Transaktions-ID aus einem kleinen legitimen Kauf umgeht der Angreiser die Signaturprüfung und gutschreibt willkürliche Wallet-Guthaben auf jedem Benutzerkonto über angreifergesteuerte Payload-Felder. Drei Schwachstellen kombinieren sich zu einer Exploit-Kette: Signaturen-Umgehung via OR-Logik (webhook.php:33), Payload-Werte überschreiben von API-abgerufenen Werten (AuthorizeNet.php:169-171, webhook.php:44-48) und eine fehlende Genehmigungsprüfung (webhook.php:61-75). Durch das Fälschen von Zahlungsmetadaten kann ein Angreiser beliebige Beträge auf die Wallet jedes Benutzers gutschreiben, ohne dass eine entsprechende Zahlung erfolgt ist, und plans_id einschließen, um Premium-Abonnements zu aktivieren (webhook.php:86-134), wodurch kostenloser Zugang zu allen bezahlten und Premium-Inhalten ermöglicht wird und direkte Einnahmeverluste für den Plattformbetreiber verursacht werden. Dieses Problem wurde in Version 29.0 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379648

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!