CVE-2026-33684 in AVideoinformation

Résumé

par VulDB • 16/07/2026

WWBN AVideo est une plateforme vidéo open source. Avant la version 29.0, une élévation de privilèges est possible via des paramètres de permission non protégés dans l'API signUp, ce qui permet à tout utilisateur capable de résoudre un CAPTCHA d'accorder automatiquement des permissions élevées lors de l'enregistrement du compte. La méthode set_api_signUp du plugin API accepte les paramètres emailVerified, canUpload, canStream et canCreateMeet provenant d'une entrée fournie par l'utilisateur et les applique aux comptes nouvellement créés sans vérifier que la requête a été authentifiée avec un APISecret valide. En s'attribuant automatiquement des attributs de compte, les attaquants peuvent marquer leurs propres comptes comme vérifiés par e-mail sans posséder l'adresse (contournant ainsi les fonctionnalités restreintes aux utilisateurs ayant validé leur adresse) et se voir accorder les permissions d'upload, de streaming et de création de réunions, contournant les contrôles d'accès administrateur qui restreignent intentionnellement ces capacités pour les nouveaux utilisateurs. Ce problème a été corrigé dans la version 29.0

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

16/07/2026

Modérer

accepté

Entrée

VDB-379411

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!