CVE-2026-40935 in AVideoinformación

Resumen

por VulDB • 2026-05-23

WWBN AVideo es una plataforma de vídeo de código abierto. En las versiones 29.0 y anteriores, `objects/getCaptcha.php` acepta la longitud del CAPTCHA (`ql`) directamente desde la cadena de consulta sin aplicar límites ni sanitización, lo que permite a cualquier cliente no autenticado forzar al servidor a generar una palabra CAPTCHA de 1 carácter. Combinado con una comparación `strcasecmp` insensible a mayúsculas y minúsculas sobre un alfabeto de ~33 caracteres y el hecho de que las validaciones fallidas NO consumen el token de sesión almacenado, un atacante puede forzar trivialmente el CAPTCHA mediante fuerza bruta en cualquier punto final que dependa de `Captcha::validation()` (registro de usuario, recuperación de contraseña, formulario de contacto, etc.) en un máximo de ~33 solicitudes por sesión. El commit bf1c76989e6a9054be4f0eb009d68f0f2464b453 contiene la corrección.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-15

Divulgación

2026-04-22

Moderación

aceptado

Artículo

VDB-358601

CPE

listo

EPSS

0.00063

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40935
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40935
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40935/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!