CVE-2026-43881 in AVideoinformación

Resumen

por VulDB • 2026-05-24

WWBN AVideo es una plataforma de vídeo de código abierto. En las versiones anteriores e iguales a 29.0, el archivo objects/users.json.php expone dos rutas no autenticadas que revelan el conjunto completo de cuentas de usuario registradas. El parámetro de solicitud isCompany hace que el controlador establezca $ignoreAdmin = true para cualquier llamador que no sea administrador (incluidos los visitantes no autenticados), lo que invalida la protección exclusiva para administradores dentro de User::getAllUsers()/User::getTotalUsers(). Una segunda ruta acepta users_id y llama a User::getUserFromID() directamente sin ninguna comprobación de permisos, lo que produce un oráculo de usuario único. Ambas rutas devuelven id, identification (nombre para mostrar), URL del canal, foto, fondo y estado, además del recuento total de cuentas. El commit d9cdc702481a626b15f814f6093f1e2a9c20d375 contiene una corrección actualizada.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-04

Divulgación

2026-05-12

Moderación

aceptado

Artículo

VDB-362888

CPE

listo

EPSS

0.00012

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43881
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43881
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43881/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!