CVE-2026-43880 in AVideoinformation

Résumé

par VulDB • 12/05/2026

WWBN AVideo est une plateforme vidéo open source. Dans les versions allant jusqu'à la 29.0 incluse, le fichier objects/sendEmail.json.php expose deux branches selon que le paramètre contactForm=1 est soumis ou non. Lorsque ce paramètre est omis, l'endpoint définit $sendTo sur une adresse e-mail fournie par l'attaquant et, pour les appelants non authentifiés, utilise l'adresse e-mail de contact du site comme expéditeur From:/Reply-To:. L'endpoint est explicitement inclus dans une liste blanche (« public write action ») dans objects/functionsSecurity.php (ligne 885), ce qui signifie qu'il ne nécessite ni authentification ni jeton CSRF. Un attaquant non authentifié (résolvant un captcha) peut forcer l'infrastructure SMTP du site à envoyer des e-mails composés par l'attaquant à des destinataires arbitraires en utilisant l'adresse d'expéditeur légitime du site, permettant ainsi de passer les vérifications SPF/DKIM/DMARC pour le domaine du site — une situation idéale pour le phishing ciblé et l'usurpation d'identité de marque. Le commit 4e3709895857a5857f0edb46b0ee984de0d9e1a2 contient une correction mise à jour.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

04/05/2026

Divulgation

12/05/2026

Modérer

accepté

Entrée

VDB-362897

CPE

prêt

EPSS

0.00071

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43880
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43880
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43880/

PrécédentAperçuSuivant

Want to stay up to date on a daily basis?

Enable the mail alert feature now!