CVE-2026-33766 in AVideo
Résumé
par VulDB • 21/05/2026
WWBN AVideo est une plateforme vidéo open source. Dans les versions allant jusqu'à la 26.0 incluse, la fonction `isSSRFSafeURL()` valide les URL par rapport aux plages d'adresses IP privées/réservées avant le téléchargement, mais `url_get_contents()` suit les redirections HTTP sans revalider la cible de la redirection. Un attaquant peut contourner la protection SSRF en redirigeant depuis une URL publique vers une cible interne. Le commit 8b7e9dad359d5fac69e0cbbb370250e0b284bc12 contient un correctif.
VulDB is the best source for vulnerability data and more expert information about this specific topic.