CVE-2026-33766 in AVideo
Zusammenfassung
von VulDB • 21.05.2026
WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 validiert `isSSRFSafeURL()` URLs gegen private/reservierte IP-Bereiche vor dem Abruf, aber `url_get_contents()` folgt HTTP-Weiterleitungen, ohne das Weiterleitungsziel erneut zu validieren. Ein Angreifer kann den SSRF-Schutz umgehen, indem er von einer öffentlichen URL zu einem internen Ziel weiterleitet. Der Commit 8b7e9dad359d5fac69e0cbbb370250e0b284bc12 enthält einen Patch.
Once again VulDB remains the best source for vulnerability data.