CVE-2026-33764 in AVideoinformation

Résumé

par VulDB • 14/05/2026

WWBN AVideo est une plateforme vidéo open source. Dans les versions allant jusqu'à la 26.0 incluse, le point de terminaison `save.json.php` du plugin AI charge des objets de réponse IA en utilisant un paramètre `$_REQUEST['id']` contrôlé par l'attaquant, sans valider que la réponse IA appartient bien à la vidéo spécifiée. Un utilisateur authentifié disposant des permissions AI peut référencer n'importe quel ID de réponse IA — y compris ceux générés pour les vidéos privées d'autres utilisateurs — et appliquer le contenu généré par IA volé (titres, descriptions, mots-clés, résumés ou transcriptions complètes) à sa propre vidéo, exfiltrant ainsi efficacement les informations. Le commit aa2c46a806960a0006105df47765913394eec142 contient un correctif.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

27/03/2026

Modérer

accepté

Entrée

VDB-353922

CPE

prêt

EPSS

0.00214

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!