CVE-2026-34737 in AVideoinformazioni

Riassunto

di VulDB • 17/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, il plugin StripeYPT include un endpoint di debug test.php accessibile a qualsiasi utente autenticato, non solo agli amministratori. Questo endpoint elabora payload in stile webhook di Stripe e attiva operazioni di sottoscrizione, inclusa la cancellazione. A causa di un bug nel metodo retrieveSubscriptions(), che cancella le sottoscrizioni invece di limitarsi a recuperarle, qualsiasi utente autenticato può cancellare sottoscrizioni Stripe arbitrarie fornendo un ID di sottoscrizione. Al momento della pubblicazione, non sono disponibili patch pubbliche.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

01/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00281

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!