CVE-2026-33759 in AVideoinformazioni

Riassunto

di VulDB • 28/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, l'endpoint `objects/playlistsVideos.json.php` restituisce il contenuto completo dei video di qualsiasi playlist tramite ID senza effettuare alcun controllo di autenticazione o autorizzazione. Le playlist private (inclusi i tipi `watch_later` e `favorite`) sono correttamente nascoste dagli endpoint di elencazione tramite `playlistsFromUser.json.php`, ma i loro contenuti sono direttamente accessibili attraverso questo endpoint fornendo il parametro intero sequenziale `playlists_id`. Il commit bb716fbece656c9fe39784f11e4e822b5867f1ca contiene la patch per risolvere l'inconveniente.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00295

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!