CVE-2026-33766 in AVideo
要約
〜によって VulDB • 2026年05月21日
WWBN AVideo はオープンソースのビデオプラットフォームです。バージョン 26.0 以前では、`isSSRFSafeURL()` はフェッチする前に URL をプライベート/予約済み IP 範囲に対して検証しますが、`url_get_contents()` はリダイレクト先を再検証せずに HTTP リダイレクトに従います。攻撃者は、公開 URL から内部ターゲットへのリダイレクトを行うことで SSRF 保護を回避できます。コミット 8b7e9dad359d5fac69e0cbbb370250e0b284bc12 にパッチが含まれています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.