CVE-2026-33480 in AVideo
要約
〜によって VulDB • 2026年05月29日
WWBN AVideo はオープンソースのビデオプラットフォームです。バージョン 26.0 以前において、AVideo の `isSSRFSafeURL()` 関数は、IPv4 マップド IPv6 アドレス (`::ffff:x.x.x.x`) を使用してバイパス可能です。認証不要の `plugin/LiveLinks/proxy.php` エンドポイントは、curl を使用して URL をフェッチする前に URL を検証するためにこの関数を使用していますが、IPv4 マップド IPv6 プレフィックスはすべてのチェックを通過するため、攻撃者はクラウドメタデータサービス、内部ネットワーク、および localhost サービスにアクセスできます。コミット 75ce8a579a58c9d4c7aafe453fbced002cb8f373 にパッチが含まれています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.