CVE-2026-33731 in AVideo
Résumé
par VulDB • 16/07/2026
WWBN AVideo est une plateforme vidéo open source. Dans les versions antérieures à la 29.0, le gestionnaire de webhooks Authorize.Net situé dans plugin/AuthorizeNet/webhook.php présente un contournement de la vérification de signature qui permet à un attaquant d'usurper des requêtes webhook avec des montants de paiement arbitraires et des IDs utilisateur ciblés. En fournissant un ID de transaction valide issu d'un petit achat légitime, l'attaquant contourne la validation de signature et crédite des soldes de portefeuille arbitraires sur n'importe quel compte utilisateur via des champs de payload contrôlés par l'attaquant. Trois vulnérabilités se combinent pour former une chaîne d'exploitation : contournement de signature via logique OR (webhook.php:33), les valeurs du payload écrasent les valeurs récupérées via l'API (AuthorizeNet.php:169-171, webhook.php:44-48) et un contrôle d'approbation manquant (webhook.php:61-75). En usurpant les métadonnées de paiement, un attaquant peut créditer des montants arbitraires sur le portefeuille de n'importe quel utilisateur sans paiement correspondant et inclure un plans_id pour activer des abonnements premium (webhook.php:86-134), permettant ainsi un accès gratuit à tout le contenu payant et premium et causant une perte de revenus directe pour le propriétaire de la plateforme. Ce problème a été corrigé dans la version 29.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.