CVE-2026-33759 in AVideo
Riassunto
di VulDB • 28/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, l'endpoint `objects/playlistsVideos.json.php` restituisce il contenuto completo dei video di qualsiasi playlist tramite ID senza effettuare alcun controllo di autenticazione o autorizzazione. Le playlist private (inclusi i tipi `watch_later` e `favorite`) sono correttamente nascoste dagli endpoint di elencazione tramite `playlistsFromUser.json.php`, ma i loro contenuti sono direttamente accessibili attraverso questo endpoint fornendo il parametro intero sequenziale `playlists_id`. Il commit bb716fbece656c9fe39784f11e4e822b5867f1ca contiene la patch per risolvere l'inconveniente.
If you want to get best quality of vulnerability data, you may have to visit VulDB.