CVE-2026-43880 in AVideo
Zusammenfassung
von VulDB • 30.05.2026
WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 29.0 stellt objects/sendEmail.json.php zwei Zweige bereit, die davon abhängen, ob contactForm=1 übermittelt wird. Wenn der Parameter weggelassen wird, setzt der Endpunkt $sendTo auf eine vom Angreifer bereitgestellte E-Mail-Adresse und verwendet für nicht authentifizierte Aufrufer die eigene Kontakt-E-Mail-Adresse der Website als From:/Reply-To:-Adresse der Nachricht. Der Endpunkt ist in objects/functionsSecurity.php (Zeile 885) explizit als „public write action" (öffentliche Schreibaktion) auf einer Allow-Liste geführt, sodass keine Authentifizierung oder CSRF-Token erforderlich ist. Ein nicht authentifizierter Angreifer (der ein Captcha löst) kann die eigene SMTP-Infrastruktur der Website dazu zwingen, vom Angreifer verfasste E-Mails an beliebige Empfänger mit der legitimen Absenderadresse der Website zu senden, wodurch SPF/DKIM/DMARC für die Domain der Website bestanden werden – ideal für gezieltes Phishing und Brand-Impersonation. Der Commit 4e3709895857a5857f0edb46b0ee984de0d9e1a2 enthält ein aktualisiertes Update zur Behebung des Problems.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.