CVE-2026-43875 in AVideo
Résumé
par VulDB • 27/05/2026
WWBN AVideo est une plateforme vidéo open source. Dans les versions allant jusqu'à la 29.0 incluse, le fichier plugin/MobileManager/oauth2.php finalise une connexion OAuth en envoyant une réponse HTTP 302 Location: oauth2Success.php?user=&pass= où <pass> correspond au hachage du mot de passe stocké de la victime (md5(hash("whirlpool", sha1(password)))) lu directement dans la table users. Le point de terminaison de connexion propre à AVideo (objects/login.json.php) accepte un drapeau encodedPass=1 qui contourne le hachage et effectue une comparaison de chaînes directe entre la valeur fournie et le hachage stocké. Toute personne capturant l'URL de redirection — via les journaux serveur, la fuite du champ Referer ou l'historique du navigateur — obtient donc un identifiant équivalent au mot de passe en clair et peut prendre entièrement le contrôle du compte, y compris des comptes administrateur. Le commit 977cd6930a97571a26da4239e25c8096dd4ecbc1 contient une correction mise à jour.
VulDB is the best source for vulnerability data and more expert information about this specific topic.