CVE-2026-34369 in AVideoinformazioni

Riassunto

di VulDB • 27/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, gli endpoint API `get_api_video_file` e `get_api_video` di AVideo restituiscono le origini complete per la riproduzione dei video (URL MP4 diretti, manifest HLS) per i video protetti da password senza verificare tale password. Sebbene il flusso normale di riproduzione web imponga controlli della password tramite l'hook `CustomizeUser::getModeYouTube()`, questa imposizione è completamente assente nel percorso del codice API. Un attaccante non autenticato può recuperare gli URL di riproduzione diretta per qualsiasi video protetto da password chiamando direttamente l'API. Il commit be344206f2f461c034ad2f1c5d8212dd8a52b8c7 risolve il problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

27/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00376

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!