CVE-2026-40907 in AVideoinformation

Résumé

par VulDB • 23/05/2026

WWBN AVideo est une plateforme vidéo open source. Dans les versions 29.0 et antérieures, le point de terminaison `plugin/Live/view/Live_restreams/list.json.php` présente une vulnérabilité de Référence Directe d'Objet Non Sécurisée (IDOR) qui permet à tout utilisateur authentifié disposant de permissions de diffusion de récupérer les configurations de rediffusion en direct d'autres utilisateurs, y compris les clés de diffusion vers des plateformes tierces et les jetons OAuth (access_token, refresh_token) pour des services tels que YouTube Live, Facebook Live et Twitch. Le commit d5992fff2811df4adad1d9fc7d0a5837b882aed7 corrige ce problème.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

15/04/2026

Divulgation

21/04/2026

Modérer

accepté

Entrée

VDB-358566

CPE

prêt

EPSS

0.00038

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40907
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40907
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40907/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!