CVE-2026-33764 in AVideoinformación

Resumen

por VulDB • 2026-05-22

WWBN AVideo es una plataforma de vídeo de código abierto. En las versiones anteriores e iguales a 26.0, el punto de conexión `save.json.php` del plugin de IA carga objetos de respuesta de IA utilizando un parámetro `$_REQUEST['id']` controlado por el atacante, sin validar que la respuesta de IA pertenezca al vídeo especificado. Un usuario autenticado con permisos de IA puede hacer referencia a cualquier ID de respuesta de IA, incluidos los generados para vídeos privados de otros usuarios, y aplicar el contenido generado por IA robado (títulos, descripciones, palabras clave, resúmenes o transcripciones completas) a su propio vídeo, exfiltrando efectivamente la información. El commit aa2c46a806960a0006105df47765913394eec142 contiene un parche.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-03-27

Moderación

aceptado

Artículo

VDB-353922

CPE

listo

EPSS

0.00214

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!