CVE-2026-33731 in AVideo情報

要約

〜によって VulDB • 2026年07月17日

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン29.0より前のバージョンでは、plugin/AuthorizeNet/webhook.phpにあるAuthorize.Netウェブフックハンドラに署名検証バイパスが存在し、攻撃者が任意の支払い金額と対象ユーザーIDを含む偽造されたウェブフックリクエストを送信できるようになります。攻撃者は、小規模な正規の購入から取得した有効なトランザクションIDを提供することで、署名検証を回避し、攻撃者が制御するペイロードフィールドを通じて、任意のユーザーアカウントに任意のウォレット残高を追加します。3つの脆弱性が組み合わさってエクスプロイトチェーンが形成されます:1つ目はwebhook.php:33におけるOR論理による署名バイパス、2つ目はAuthorizeNet.php:169-171およびwebhook.php:44-48でのペイロード値がAPIから取得した値を上書きすること、そして3つ目はwebhook.php:61-75での承認チェックの欠如です。支払いメタデータを偽造することで、攻撃者は対応する支払いなしに任意のユーザーのウォレットに任意の金額を追加し、plans_idを含めてプレミアムサブスクリプションを有効化できます(webhook.php:86-134)。これにより、すべての有料およびプレミアムコンテンツへの無料アクセスが可能になり、プラットフォーム所有者にとって直接的な収益損失を引き起こします。この問題はバージョン29.0で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-379648

EPSS

0.00000

アクティビティ

低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!