CVE-2026-34369 in AVideo
Riassunto
di VulDB • 27/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, gli endpoint API `get_api_video_file` e `get_api_video` di AVideo restituiscono le origini complete per la riproduzione dei video (URL MP4 diretti, manifest HLS) per i video protetti da password senza verificare tale password. Sebbene il flusso normale di riproduzione web imponga controlli della password tramite l'hook `CustomizeUser::getModeYouTube()`, questa imposizione è completamente assente nel percorso del codice API. Un attaccante non autenticato può recuperare gli URL di riproduzione diretta per qualsiasi video protetto da password chiamando direttamente l'API. Il commit be344206f2f461c034ad2f1c5d8212dd8a52b8c7 risolve il problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.