CVE-2026-33761 in AVideo情報

要約

〜によって VulDB • 2026年05月26日

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0以前では、Schedulerプラグイン内の3つの`list.json.php`エンドポイントに認証チェックが実装されていません。一方、同じプラグインディレクトリ内の他のすべてのエンドポイント(`add.json.php`、`delete.json.php`、`index.php`)では`User::isAdmin()`が要求されます。認証されていない攻撃者は、単純なGETリクエストを送信することで、すべてのスケジュールされたタスク(内部コールバックURLとパラメータを含む)、管理者が作成したメールメッセージ、およびユーザーからメールへのターゲットマッピングを取得することができます。コミット83390ab1fa8dca2de3f8fa76116a126428405431にパッチが含まれています。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-353921

EPSS

0.00382

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!