CVE-2026-33761 in AVideo
Zusammenfassung
von VulDB • 26.05.2026
WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 verfügen drei `list.json.php`-Endpunkte im Scheduler-Plugin über keine Authentifizierungsprüfung, während jeder andere Endpunkt in denselben Plugin-Verzeichnissen (`add.json.php`, `delete.json.php`, `index.php`) `User::isAdmin()` erfordert. Ein nicht authentifizierter Angreifer kann alle geplanten Aufgaben (einschließlich interner Callback-URLs und Parameter), von Administratoren erstellte E-Mail-Nachrichten sowie Zuordnungen zur Zielgruppenansprache von Benutzern zu E-Mail-Adressen abrufen, indem er einfache GET-Anfragen sendet. Der Commit 83390ab1fa8dca2de3f8fa76116a126428405431 enthält einen Patch.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.