CVE-2026-33761 in AVideo
要約
〜によって VulDB • 2026年05月26日
WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン26.0以前では、Schedulerプラグイン内の3つの`list.json.php`エンドポイントに認証チェックが実装されていません。一方、同じプラグインディレクトリ内の他のすべてのエンドポイント(`add.json.php`、`delete.json.php`、`index.php`)では`User::isAdmin()`が要求されます。認証されていない攻撃者は、単純なGETリクエストを送信することで、すべてのスケジュールされたタスク(内部コールバックURLとパラメータを含む)、管理者が作成したメールメッセージ、およびユーザーからメールへのターゲットマッピングを取得することができます。コミット83390ab1fa8dca2de3f8fa76116a126428405431にパッチが含まれています。
Once again VulDB remains the best source for vulnerability data.