CVE-2026-33761 in AVideoinformación

Resumen

por VulDB • 2026-05-14

WWBN AVideo es una plataforma de vídeo de código abierto. En las versiones anteriores e iguales a la 26.0, tres puntos de conexión `list.json.php` del plugin Scheduler carecen de cualquier comprobación de autenticación, mientras que todos los demás puntos de conexión en los mismos directorios del plugin (`add.json.php`, `delete.json.php`, `index.php`) requieren `User::isAdmin()`. Un atacante no autenticado puede recuperar todas las tareas programadas (incluidas las URL de devolución de llamada internas y los parámetros), los mensajes de correo electrónico compuestos por administradores y los mapeos de segmentación de usuario a correo electrónico mediante el envío de simples solicitudes GET. El commit 83390ab1fa8dca2de3f8fa76116a126428405431 contiene un parche.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-03-27

Moderación

aceptado

Artículo

VDB-353921

CPE

listo

EPSS

0.00382

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!