CVE-2026-33764 in AVideoinformazioni

Riassunto

di VulDB • 22/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 incluse, l'endpoint `save.json.php` del plugin AI carica gli oggetti di risposta dell'intelligenza artificiale utilizzando un parametro `$_REQUEST['id']` controllato dall'attaccante, senza convalidare che la risposta AI appartenga al video specificato. Un utente autenticato con autorizzazioni per l'AI può fare riferimento a qualsiasi ID di risposta AI — inclusi quelli generati per i video privati di altri utenti — e applicare il contenuto generato da AI rubato (titoli, descrizioni, parole chiave, riassunti o trascrizioni complete) al proprio video, esfiltrando efficacemente le informazioni. Il commit aa2c46a806960a0006105df47765913394eec142 contiene una patch.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00214

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!