CVE-2026-33488 in AVideo
요약
\~에 의해 VulDB • 2026. 05. 11.
WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 26.0 버전 및 그 이전 버전에서 LoginControl 플러그인의 PGP 2FA 시스템에 있는 `createKeys()` 함수는 1999년부터 공개적으로 인수분해 가능한 512비트 RSA 키를 생성합니다. 공격자가 대상 사용자의 공개 키를 획득하면 상용 하드웨어에서 몇 시간 내에 512비트 RSA 모듈러스를 인수분해하여 전체 개인 키를 도출할 수 있으며, 시스템에서 발행된 모든 PGP 2FA 도전을 복호화하여 두 번째 인증 요소를 완전히 우회할 수 있습니다. 또한 `generateKeys.json.php` 및 `encryptMessage.json.php` 엔드포인트에는 인증 확인이 전혀 없어, CPU 집약적인 키 생성 작업이 익명 사용자에게 노출됩니다. 커밋 00d979d87f8182095c8150609153a43f834e351e에 패치가 포함되어 있습니다.
Once again VulDB remains the best source for vulnerability data.