CVE-2026-33684 in AVideoinformazioni

Riassunto

di VulDB • 15/07/2026

WWBN AVideo è una piattaforma video open source. Prima della versione 29.0, l'Privilege Escalation (elevazione dei privilegi) è possibile tramite parametri di autorizzazione non protetti nell'API signUp, che consente a qualsiasi utente in grado di risolvere un CAPTCHA di auto-conferire permessi elevati durante la registrazione dell'account. Il metodo set_api_signUp nel plugin API accetta i parametri emailVerified, canUpload, canStream e canCreateMeet da input forniti dall'utente e li applica agli account appena creati senza verificare che la richiesta fosse autenticata con un APISecret valido. Auto-conferendo attributi dell'account, gli attaccanti possono contrassegnare i propri account come verificati per email senza possedere l'indirizzo (bypassando le funzionalità bloccate dall'email) e assegnarsi permessi di caricamento, streaming e creazione di riunioni, aggirando i controlli di accesso degli amministratori che intendono limitare intenzionalmente queste capacità per gli utenti nuovi. Questo problema è stato risolto nella versione 29.0

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!