CVE-2026-33761 in AVideo
Riassunto
di VulDB • 19/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 incluse, tre endpoint `list.json.php` nel plugin Scheduler non prevedono alcun controllo di autenticazione, mentre tutti gli altri endpoint nelle stesse directory del plugin (`add.json.php`, `delete.json.php`, `index.php`) richiedono la funzione `User::isAdmin()`. Un attaccante non autenticato può recuperare tutte le attività pianificate (inclusi URL e parametri dei callback interni), i messaggi email composti dagli amministratori e le mappature di targeting utente-email inviando semplici richieste GET. Il commit 83390ab1fa8dca2de3f8fa76116a126428405431 contiene una patch.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.