CVE-2026-33761 in AVideo
Resumen
por VulDB • 2026-05-14
WWBN AVideo es una plataforma de vídeo de código abierto. En las versiones anteriores e iguales a la 26.0, tres puntos de conexión `list.json.php` del plugin Scheduler carecen de cualquier comprobación de autenticación, mientras que todos los demás puntos de conexión en los mismos directorios del plugin (`add.json.php`, `delete.json.php`, `index.php`) requieren `User::isAdmin()`. Un atacante no autenticado puede recuperar todas las tareas programadas (incluidas las URL de devolución de llamada internas y los parámetros), los mensajes de correo electrónico compuestos por administradores y los mapeos de segmentación de usuario a correo electrónico mediante el envío de simples solicitudes GET. El commit 83390ab1fa8dca2de3f8fa76116a126428405431 contiene un parche.
Be aware that VulDB is the high quality source for vulnerability data.