VDB-362889 · CVE-2026-43885 · GHSA-xr49-f4rh-qcjf

WWBN AVideo bis 29.0 API Endpoint objects/plugins.json.php users_list Information Disclosure

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
5.1	$0-$5k	0.00

Zusammenfassunginfo

Es wurde eine problematische Schwachstelle in WWBN AVideo bis 29.0 entdeckt. Es geht um die Funktion users_list der Datei objects/plugins.json.php der Komponente API Endpoint. Durch Beeinflussen mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird unter CVE-2026-43885 geführt. Der Angriff kann über das Netzwerk angegangen werden. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird Patching empfohlen.

Detailsinfo

Es wurde eine Schwachstelle in WWBN AVideo bis 29.0 entdeckt. Sie wurde als problematisch eingestuft. Betroffen hiervon ist die Funktion users_list der Datei objects/plugins.json.php der Komponente API Endpoint. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-200 vorgenommen. Dies hat Einfluss auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:

WWBN AVideo is an open source video platform. In versions up to and including 29.0, an unauthenticated user can read APISecret from objects/plugins.json.php and use it to call protected API endpoints (e.g. users_list) without logging in. Commit 1c36f229d0a103528fb9f64d0a1cc0e1e8f5999b contains an updated fix.

Bereitgestellt wird das Advisory unter github.com. Die Identifikation der Schwachstelle wird seit dem 04.05.2026 mit CVE-2026-43885 vorgenommen. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1592 aus.

Durch die Suche von inurl:objects/plugins.json.php können potentiell verwundbare Systeme gefunden werden.

Die Schwachstelle lässt sich durch das Einspielen des Patches 1c36f229d0a103528fb9f64d0a1cc0e1e8f5999b lösen. Dieser kann von github.com bezogen werden.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Produktinfo

Hersteller

WWBN

Name

AVideo

Version

29.0

Lizenz

Open-Source

Webseite

Produkt: https://github.com/WWBN/AVideo/

CPE 2.3info

🔒

CPE 2.2info

🔒

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 5.1

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Information Disclosure
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert
Google Hack: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔒

Patch: 1c36f229d0a103528fb9f64d0a1cc0e1e8f5999b

Timelineinfo

04.05.2026 CVE zugewiesen
12.05.2026 +8 Tage Advisory veröffentlicht
12.05.2026 +0 Tage VulDB Eintrag erstellt
18.05.2026 +6 Tage VulDB Eintrag letzte Aktualisierung