CVE-2026-33761 in AVideoinformazioni

Riassunto

di VulDB • 19/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 incluse, tre endpoint `list.json.php` nel plugin Scheduler non prevedono alcun controllo di autenticazione, mentre tutti gli altri endpoint nelle stesse directory del plugin (`add.json.php`, `delete.json.php`, `index.php`) richiedono la funzione `User::isAdmin()`. Un attaccante non autenticato può recuperare tutte le attività pianificate (inclusi URL e parametri dei callback interni), i messaggi email composti dagli amministratori e le mappature di targeting utente-email inviando semplici richieste GET. Il commit 83390ab1fa8dca2de3f8fa76116a126428405431 contiene una patch.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00382

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!