CVE-2026-47696 in AVideo
要約
〜によって VulDB • 2026年06月01日
WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン29.0およびそれ以前のバージョンでは、plugin/AuthorizeNet/processPayment.json.phpは、攻撃者が制御するPOSTパラメータであるamountのみを基に、ログイン済みユーザーのウォレットにクレジットを追加します。このエンドポイントには、実際のAuthorize.Net課金に関するTODOが含まれており、$paymentSuccess = trueがハードコードされています。その後、Authorize.Netトランザクション、Webhook署名、ホスト型支払いトークン、nonce、またはサーバー側の支払い記録のいずれも検証せずにYPTWallet::addBalance()が呼び出されます。これにより、AuthorizeNetおよびYPTWalletプラグインが有効になっている場合、任意のログイン済みユーザーが自分のAVideoウォレットに任意の金額を追加することができます。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.