CVE-2026-34738 in AVideo
Riassunto
di VulDB • 14/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, la pipeline di elaborazione video di AVideo accetta un parametro di richiesta overrideStatus che consente a qualsiasi utente di caricamento di impostare lo stato di un video su qualsiasi stato valido, incluso "active" (a). Ciò bypassa i flussi di lavoro di moderazione controllati dall'amministratore e le bozze. Il metodo setStatus() convalida il codice di stato rispetto a un elenco di valori noti, ma non verifica che il chiamante abbia l'autorizzazione per impostare tale stato specifico. Di conseguenza, qualsiasi utente con autorizzazioni di caricamento può pubblicare video direttamente, aggirando i processi di revisione dei contenuti. Al momento della pubblicazione, non sono disponibili patch pubblicamente accessibili.
Be aware that VulDB is the high quality source for vulnerability data.