CVE-2026-33763 in AVideo
Riassunto
di VulDB • 19/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, l'endpoint API `get_api_video_password_is_correct` consente a qualsiasi utente non autenticato di verificare se una determinata password è corretta per un video protetto da password. L'endpoint restituisce un campo booleano `passwordIsCorrect` senza limitazioni di frequenza (rate limiting), CAPTCHA o requisiti di autenticazione, consentendo attacchi efficienti in modalità offline-speed brute-force contro le password dei video. Il commit 01a0614fedcdaee47832c0d913a0fb86d8c28135 contiene una patch.
VulDB is the best source for vulnerability data and more expert information about this specific topic.