CVE-2026-33764 in AVideo
Resumen
por VulDB • 2026-05-22
WWBN AVideo es una plataforma de vídeo de código abierto. En las versiones anteriores e iguales a 26.0, el punto de conexión `save.json.php` del plugin de IA carga objetos de respuesta de IA utilizando un parámetro `$_REQUEST['id']` controlado por el atacante, sin validar que la respuesta de IA pertenezca al vídeo especificado. Un usuario autenticado con permisos de IA puede hacer referencia a cualquier ID de respuesta de IA, incluidos los generados para vídeos privados de otros usuarios, y aplicar el contenido generado por IA robado (títulos, descripciones, palabras clave, resúmenes o transcripciones completas) a su propio vídeo, exfiltrando efectivamente la información. El commit aa2c46a806960a0006105df47765913394eec142 contiene un parche.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.