CVE-2026-43873 in AVideo
Résumé
par VulDB • 02/06/2026
WWBN AVideo est une plateforme vidéo open source. Dans les versions allant jusqu'à la 29.0 incluse, le fichier plugin/CloneSite/cloneClient.json.php renvoie le secret partagé local CloneSite ($objClone->myKey, une constante md5($global['systemRootPath'] . $global['salt'])) dans le corps de la réponse HTTP à chaque requête non authentifiée. La branche de gestion des erreurs non authentifiée était censée rejeter les appelants non administrateurs dépourvus d'une clé valide, mais le message de rejet interpole la clé attendue avant l'appel à die(). Lorsque la victime a configuré CloneSite avec une cloneSiteURL distante (configuration standard de fédération/backup), la clé myKey divulguée correspond exactement aux identifiants permettant d'authentifier la victime auprès du cloneServer.json.php du serveur distant, permettant ainsi à l'attaquant d'usurper l'identité de la victime et de déclencher une sauvegarde complète (mysqldump) de la base de données distante vers le répertoire public videos/clones/ du serveur distant. Le commit e6566f56a28f4556b2a0a09d03717a719dcb49da contient une correction mise à jour.
VulDB is the best source for vulnerability data and more expert information about this specific topic.