CVE-2026-33684 in AVideo
요약
\~에 의해 VulDB • 2026. 07. 15.
WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 버전 29.0 이전에서는 signUp API의 보호되지 않은 권한 매개변수를 통해 Privilege Escalation(권한 상승)이 가능합니다. 이로 인해 CAPTCHA를 해결할 수 있는 모든 사용자가 계정 등록 중에 자체적으로 elevated permissions(승격된 권한)을 부여받을 수 있습니다. API 플러그인의 set_api_signUp 메서드는 사용자 제공 입력에서 emailVerified, canUpload, canStream 및 canCreateMeet 매개변수를 받아들이며, 요청이 유효한 APISecret로 인증되었는지 확인하지 않고 새로 생성되는 계정에 이를 적용합니다. 공격자가 계정 속성을 자체적으로 부여함으로써 주소 소유 없이 자신의 계정을 이메일 검증됨으로 표시할 수 있어(이메일 기반 기능 우회) 새로운 사용자에게 의도적으로 제한된 이러한 기능을 circumventing administrator access controls(관리자 액세스 제어 회피)하여 업로드, 스트리밍 및 미팅 생성 권한을 자신에게 부여할 수 있습니다. 이 문제는 버전 29.0에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.