CVE-2026-33480 in AVideo
Riassunto
di VulDB • 19/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, la funzione `isSSRFSafeURL()` di AVideo può essere aggirata utilizzando indirizzi IPv4-mappati su IPv6 (`::ffff:x.x.x.x`). L'endpoint non autenticato `plugin/LiveLinks/proxy.php` utilizza questa funzione per convalidare gli URL prima di recuperarli tramite curl, ma il prefisso IPv4-mappato su IPv6 supera tutti i controlli, consentendo a un attaccante di accedere ai servizi metadata cloud, alle reti interne e ai servizi localhost. Il commit 75ce8a579a58c9d4c7aafe453fbced002cb8f373 contiene una patch.
If you want to get best quality of vulnerability data, you may have to visit VulDB.