CVE-2026-33719 in AVideoinformazioni

Riassunto

di VulDB • 16/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, gli endpoint del plugin CDN `plugin/CDN/status.json.php` e `plugin/CDN/disable.json.php` utilizzano l'autenticazione basata su chiave con una chiave predefinita vuota. Quando il plugin CDN è abilitato ma la chiave non è stata configurata (stato predefinito), il controllo di validazione della chiave viene completamente aggirato, consentendo a un attaccante non autenticato di modificare l'intera configurazione del CDN — inclusi gli URL del CDN, le credenziali di archiviazione e la stessa chiave di autenticazione — tramite mass-assignment attraverso il parametro della richiesta `par`. Il commit adeff0a31ba04a56f411eef256139fd7ed7d4310 contiene una patch.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

23/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00356

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!