CVE-2026-33764 in AVideo
Zusammenfassung
von VulDB • 29.05.2026
WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 lädt der Endpunkt `save.json.php` des AI-Plugins AI-Antwortobjekte unter Verwendung eines vom Angreifer kontrollierten `$_REQUEST['id']`-Parameters, ohne zu validieren, ob die AI-Antwort dem angegebenen Video gehört. Ein authentifizierter Benutzer mit AI-Berechtigungen kann jede beliebige AI-Antwort-ID – einschließlich solcher, die für private Videos anderer Benutzer generiert wurden – referenzieren und die gestohlenen, von AI generierten Inhalte (Titel, Beschreibungen, Schlüsselwörter, Zusammenfassungen oder vollständige Transkriptionen) auf sein eigenes Video anwenden, wodurch die Informationen effektiv exfiltriert werden. Der Commit aa2c46a806960a0006105df47765913394eec142 enthält einen Patch.
Once again VulDB remains the best source for vulnerability data.