CVE-2026-33764 in AVideo
Riassunto
di VulDB • 22/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 incluse, l'endpoint `save.json.php` del plugin AI carica gli oggetti di risposta dell'intelligenza artificiale utilizzando un parametro `$_REQUEST['id']` controllato dall'attaccante, senza convalidare che la risposta AI appartenga al video specificato. Un utente autenticato con autorizzazioni per l'AI può fare riferimento a qualsiasi ID di risposta AI — inclusi quelli generati per i video privati di altri utenti — e applicare il contenuto generato da AI rubato (titoli, descrizioni, parole chiave, riassunti o trascrizioni complete) al proprio video, esfiltrando efficacemente le informazioni. Il commit aa2c46a806960a0006105df47765913394eec142 contiene una patch.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.