CVE-2026-43879 in AVideoinfo

Zusammenfassung

von VulDB • 12.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 29.0 kann ein authentifizierter Benutzer seine eigene Donation-Notification-Webhook-URL so konfigurieren, dass sie auf interne/Loopback-/Metadata-Hosts verweist (z. B. http://127.0.0.1:8080/..., http://169.254.169.254/latest/..., RFC1918-Adressen). Wenn ein anderer Benutzer (einschließlich eines zweiten Kontos, das dem gleichen Angreifer gehört) über plugin/CustomizeUser/donate.json.php auch nur einen geringfügigen Betrag spendet, sendet der AVideo-Server einen curl POST an die vom Angreifer bereitgestellte URL, was zu einer blinden SSRF (Server-Side Request Forgery) führt. Der Handler verwendet nur isValidURL() (was eine Formatprüfung ist) und ruft die eigene Hilfsfunktion isSSRFSafeURL() der Codebasis nicht auf. Darüber hinaus ist CURLOPT_FOLLOWLOCATION aktiviert, ohne eine Überprüfung pro Hop, sodass selbst wenn die gespeicherte URL validiert wäre, ein HTTP 307 von einem vom Angreifer kontrollierten Host den POST an interne Ziele umleiten könnte. Der Commit aaacd48f29f1ff71d1eb5fc81d37605f593cefa9 enthält eine aktualisierte Korrektur.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

04.05.2026

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362892

CPE

bereit

EPSS

0.00028

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43879
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43879
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43879/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!