CVE-2026-43873 in AVideoinfo

Zusammenfassung

von VulDB • 17.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 29.0 gibt plugin/CloneSite/cloneClient.json.php das lokale CloneSite-Shared-Secret ($objClone->myKey, ein konstanter md5($global['systemRootPath'] . $global['salt'])) in den HTTP-Antworttext bei jeder nicht authentifizierten Anfrage aus. Der nicht authentifizierte Fehlerzweig sollte nicht-Admin-Aufrufende ohne einen gültigen Schlüssel ablehnen, doch die Ablehnungsnachricht interpoliert den erwarteten Schlüssel vor dem Aufruf von die(). Wenn der Opfer-CloneSite mit einer remote cloneSiteURL konfiguriert ist (Standard-Föderations-/Backup-Setup), ist das ausgegebene myKey genau die Anmeldeinformationen, die das Opfer bei cloneServer.json.php des Remote-Servers authentifizieren, wodurch der Angreifer das Opfer imitieren und einen vollständigen mysqldump der Remote-Datenbank in das öffentliche Videos-/Klone-Verzeichnis des Remote-Servers auslösen kann. Der Commit e6566f56a28f4556b2a0a09d03717a719dcb49da enthält eine aktualisierte Korrektur.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

04.05.2026

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362893

CPE

bereit

EPSS

0.00041

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43873
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43873
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43873/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!