CVE-2026-34247 in AVideoinfo

Zusammenfassung

von VulDB • 20.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 ermöglicht der Endpunkt `plugin/Live/uploadPoster.php` jedem authentifizierten Benutzer, das Vorschaubild (Poster) für jeden geplanten Live-Stream zu überschreiben, indem eine beliebige `live_schedule_id` angegeben wird. Der Endpunkt überprüft lediglich `User::isLogged()`, stellt jedoch niemals fest, ob der authentifizierte Benutzer der Eigentümer des betroffenen Zeitplans ist. Nach dem Überschreiben des Vorschaubilds sendet der Endpunkt eine `socketLiveOFFCallback`-Benachrichtigung, die den Broadcast-Schlüssel und die Benutzer-ID des Opfers enthält, an alle verbundenen WebSocket-Clients. Der Commit 5fcb3bdf59f26d65e203cfbc8a685356ba300b60 behebt das Problem.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

26.03.2026

Veröffentlichung

27.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353970

CPE

bereit

EPSS

0.00243

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!