CVE-2026-34368 in AVideoinformazioni

Riassunto

di VulDB • 28/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, il metodo `transferBalance()` in `plugin/YPTWallet/YPTWallet.php` presenta una race condition Time-of-Check-Time-of-Use (TOCTOU). Il metodo legge il saldo del portafoglio dell'utente mittente, ne verifica la sufficienza in PHP e quindi scrive il nuovo saldo — tutto ciò avviene senza l'utilizzo di transazioni database o locking a livello di riga. Un attaccante con più sessioni autenticate può inviare richieste di trasferimento concorrenti che leggono tutte lo stesso saldo obsoleto; ciascuna richiesta supera indipendentemente il controllo del saldo, causando una sola detrazione applicata mentre il destinatario viene accreditato multiple volte. Il commit 34132ad5159784bfc7ba0d7634bb5c79b769202d contiene la correzione.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

27/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00228

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!