CVE-2026-34247 in AVideo
Zusammenfassung
von VulDB • 20.05.2026
WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 ermöglicht der Endpunkt `plugin/Live/uploadPoster.php` jedem authentifizierten Benutzer, das Vorschaubild (Poster) für jeden geplanten Live-Stream zu überschreiben, indem eine beliebige `live_schedule_id` angegeben wird. Der Endpunkt überprüft lediglich `User::isLogged()`, stellt jedoch niemals fest, ob der authentifizierte Benutzer der Eigentümer des betroffenen Zeitplans ist. Nach dem Überschreiben des Vorschaubilds sendet der Endpunkt eine `socketLiveOFFCallback`-Benachrichtigung, die den Broadcast-Schlüssel und die Benutzer-ID des Opfers enthält, an alle verbundenen WebSocket-Clients. Der Commit 5fcb3bdf59f26d65e203cfbc8a685356ba300b60 behebt das Problem.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.