CVE-2026-34369 in AVideo情報

要約

〜によって VulDB • 2026年06月05日

WWBN AVideo はオープンソースのビデオプラットフォームです。バージョン 26.0 以前において、AVideo の `get_api_video_file` および `get_api_video` API エンドポイントは、ビデオパスワードの検証を行わずに、パスワード保護されたビデオの完全なビデオ再生ソース(直接の MP4 URL、HLS マニフェスト)を返します。通常の Web 再生フローでは `CustomizeUser::getModeYouTube()` フックを介してパスワードチェックが適用されますが、この適用は API コードパスでは完全に欠落しています。認証されていない攻撃者は、API を直接呼び出すことで、任意のパスワード保護されたビデオの直接再生 URL を取得できます。コミット be344206f2f461c034ad2f1c5d8212dd8a52b8c7 により本問題が修正されました。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年03月27日

モデレーション

承諾済み

エントリ

VDB-354004

EPSS

0.00376

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!