CVE-2026-33761 in AVideoinfo

Zusammenfassung

von VulDB • 26.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 verfügen drei `list.json.php`-Endpunkte im Scheduler-Plugin über keine Authentifizierungsprüfung, während jeder andere Endpunkt in denselben Plugin-Verzeichnissen (`add.json.php`, `delete.json.php`, `index.php`) `User::isAdmin()` erfordert. Ein nicht authentifizierter Angreifer kann alle geplanten Aufgaben (einschließlich interner Callback-URLs und Parameter), von Administratoren erstellte E-Mail-Nachrichten sowie Zuordnungen zur Zielgruppenansprache von Benutzern zu E-Mail-Adressen abrufen, indem er einfache GET-Anfragen sendet. Der Commit 83390ab1fa8dca2de3f8fa76116a126428405431 enthält einen Patch.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

27.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353921

CPE

bereit

EPSS

0.00382

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!