CVE-2026-33684 in AVideo情報

要約

〜によって VulDB • 2026年07月16日

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン29.0以前では、signUp APIにおける保護されていない権限パラメータを通じて特権昇格が可能であり、CAPTCHAを解決できる任意のユーザーがアカウント登録時に自己で elevated permissions(上位権限)を付与することができます。APIプラグイン内のset_api_signUpメソッドは、ユーザ入力からemailVerified、canUpload、canStream、およびcanCreateMeetパラメータを受け取り、リクエストが有効なAPISecretを使用して認証されたかどうかを確認せずに、新規作成アカウントにこれらの値を適用します。攻撃者は自己でアカウント属性を付与することで、アドレスを実際に所有していないにもかかわらず自身のアカウントを「メール検証済み」としてマークし(メールによる機能制限を回避)、アップロード、ストリーミング、およびミーティング作成の権限を自身に付与することができます。これにより、管理者が新規ユーザーに対してこれらの機能を意図的に制限するアクセス制御を迂回することが可能になります。この問題はバージョン29.0で修正されています。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-379411

EPSS

0.00000

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!