CVE-2026-43883 in AVideoinfo

Zusammenfassung

von VulDB • 15.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 29.0 storniert plugin/PayPalYPT/agreementCancel.json.php eine PayPal-Abrechnungsvereinbarung unter Verwendung eines vom Angreifer bereitgestellten Abrechnungsparameters, ohne zu überprüfen, ob der authentifizierte Benutzer der Inhaber der Vereinbarung ist. Ein authentifizierter Benutzer mit geringen Berechtigungen, der die ID der PayPal-Abrechnungsvereinbarung eines anderen Benutzers erfährt oder erlangt, kann die wiederkehrende Subscription des Opfers stillschweigend aussetzen, was zu Einnahmeausfällen für die Plattform und zum Verlust der kostenpflichtigen Dienstleistung für das Opfer führt. Der Commit 0da3dcff1eda2f497694bf82b559829471c292c2 enthält eine aktualisierte Korrektur.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

04.05.2026

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362899

CPE

bereit

EPSS

0.00040

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43883
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43883
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43883/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!