CVE-2026-33763 in AVideo
Zusammenfassung
von VulDB • 25.05.2026
WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 ermöglicht der API-Endpunkt `get_api_video_password_is_correct` jedem nicht authentifizierten Benutzer zu überprüfen, ob ein angegebenes Passwort für ein passwortgeschütztes Video korrekt ist. Der Endpunkt gibt ein boolesches Feld `passwordIsCorrect` zurück, ohne dass Rate Limiting, CAPTCHA oder Authentifizierung erforderlich sind, was effiziente Offline-Brute-Force-Angriffe gegen Video-Passwörter ermöglicht. Der Commit 01a0614fedcdaee47832c0d913a0fb86d8c28135 enthält einen Patch.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.