CVE-2026-33480 in AVideoinformazioni

Riassunto

di VulDB • 19/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, la funzione `isSSRFSafeURL()` di AVideo può essere aggirata utilizzando indirizzi IPv4-mappati su IPv6 (`::ffff:x.x.x.x`). L'endpoint non autenticato `plugin/LiveLinks/proxy.php` utilizza questa funzione per convalidare gli URL prima di recuperarli tramite curl, ma il prefisso IPv4-mappato su IPv6 supera tutti i controlli, consentendo a un attaccante di accedere ai servizi metadata cloud, alle reti interne e ai servizi localhost. Il commit 75ce8a579a58c9d4c7aafe453fbced002cb8f373 contiene una patch.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

20/03/2026

Divulgazione

23/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00320

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!