CVE-2026-40935 in AVideoinfo

Zusammenfassung

von VulDB • 17.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In den Versionen 29.0 und älteren Versionen akzeptiert `objects/getCaptcha.php` die CAPTCHA-Länge (`ql`) direkt aus der Query-String ohne Begrenzung (Clamping) oder Sanitisierung, wodurch jeder nicht authentifizierte Client den Server dazu bringen kann, ein CAPTCHA-Wort mit nur 1 Zeichen zu generieren. In Kombination mit einem fallunabhängigen `strcasecmp`-Vergleich über ein Alphabet von ca. 33 Zeichen und der Tatsache, dass fehlgeschlagene Validierungen den gespeicherten Session-Token NICHT verbrauchen, kann ein Angreifer das CAPTCHA auf jedem Endpunkt, der auf `Captcha::validation()` basiert (Benutzerregistrierung, Passwortwiederherstellung, Kontaktformular usw.), mit höchstens ca. 33 Anfragen pro Session trivial brute-forcen. Der Commit bf1c76989e6a9054be4f0eb009d68f0f2464b453 enthält eine Korrektur.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

15.04.2026

Veröffentlichung

22.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358601

CPE

bereit

EPSS

0.00063

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40935
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40935
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40935/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!