CVE-2026-33764 in AVideo
要約
〜によって VulDB • 2026年05月29日
WWBN AVideo はオープンソースのビデオプラットフォームです。バージョン 26.0 以前において、AI プラグインの `save.json.php` エンドポイントは、AI 応答が指定されたビデオに属していることを検証せずに、攻撃者が制御可能な `$_REQUEST['id']` パラメータを使用して AI 応答オブジェクトを読み込みます。AI 権限を持つ認証済みユーザーは、他のユーザーのプライベートビデオ用に生成された ID を含む任意の AI 応答 ID を参照し、盗まれた AI 生成コンテンツ(タイトル、説明、キーワード、要約、または完全な文字起こし)を自身のビデオに適用することで、機密情報を事実上外部に漏洩させることができます。コミット aa2c46a806960a0006105df47765913394eec142 にパッチが含まれています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.