CVE-2026-33684 in AVideoinformación

Resumen

por VulDB • 2026-07-16

WWBN AVideo es una plataforma de vídeo de código abierto. Antes de la versión 29.0, es posible una escalada de privilegios a través de parámetros de permisos sin protección en la API signUp, lo que permite a cualquier usuario capaz de resolver un CAPTCHA autoconcederse permisos elevados durante el registro de cuenta. El método set_api_signUp del plugin de API acepta los parámetros emailVerified, canUpload, canStream y canCreateMeet procedentes de datos introducidos por el usuario y los aplica a las cuentas recién creadas sin verificar que la solicitud estuviera autenticada con un APISecret válido. Al autoconcederse atributos de cuenta, los atacantes pueden marcar sus propias cuentas como verificadas por correo electrónico sin poseer dicha dirección (eludiendo la funcionalidad restringida mediante correo electrónico) y otorgarse permisos para subir contenido, transmitir en directo y crear reuniones, eludiendo los controles de acceso del administrador que restringen intencionadamente estas capacidades para nuevos usuarios. Este problema se ha corregido en la versión 29.0

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379411

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!