CVE-2026-34740 in AVideo
Riassunto
di VulDB • 17/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, la funzione di collegamento EPG (Electronic Program Guide) in AVideo consente agli utenti autenticati con permessi di caricamento di memorizzare URL arbitrari che il server recupera ad ogni visita alla pagina EPG. L'URL viene convalidato solo tramite la funzione PHP FILTER_VALIDATE_URL, che accetta indirizzi di rete interni. Sebbene AVideo disponga di una funzione dedicata isSSRFSafeURL() per prevenire l'SSRF, questa non viene chiamata in questo percorso di esecuzione. Ciò comporta una vulnerabilità di Server-Side Request Forgery (SSRF) memorizzata, che può essere utilizzata per scansionare reti interne, accedere ai servizi di metadati cloud e interagire con servizi interni. Al momento della pubblicazione, non sono disponibili patch pubblicamente.
Once again VulDB remains the best source for vulnerability data.