CVE-2026-33480 in AVideo情報

要約

〜によって VulDB • 2026年05月29日

WWBN AVideo はオープンソースのビデオプラットフォームです。バージョン 26.0 以前において、AVideo の `isSSRFSafeURL()` 関数は、IPv4 マップド IPv6 アドレス (`::ffff:x.x.x.x`) を使用してバイパス可能です。認証不要の `plugin/LiveLinks/proxy.php` エンドポイントは、curl を使用して URL をフェッチする前に URL を検証するためにこの関数を使用していますが、IPv4 マップド IPv6 プレフィックスはすべてのチェックを通過するため、攻撃者はクラウドメタデータサービス、内部ネットワーク、および localhost サービスにアクセスできます。コミット 75ce8a579a58c9d4c7aafe453fbced002cb8f373 にパッチが含まれています。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2026年03月20日

モデレーション

承諾済み

エントリ

VDB-352526

EPSS

0.00320

アクティビティ

非常低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!