CVE-2026-33731 in AVideo정보

요약

\~에 의해 VulDB • 2026. 07. 16.

WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 버전 29.0 이전의 WWBN AVideo에서 plugin/AuthorizeNet/webhook.php에 있는 Authorize.Net 웹훅 핸들러에는 서명 검증 우회 취약점이 존재하며, 공격자가 임의의 결제 금액과 대상 사용자 ID를 사용하여 웹훅 요청을 위조할 수 있습니다. 공격자는 소액의 정당한 구매에서 유효한 거래 ID를 제공하여 서명 검증을 우회하고, 공격자 제어 하에 있는 페이로드 필드를 통해 모든 사용자 계정의 지갑 잔액을 임의로 크레딧 처리합니다. 세 가지 결함이 결합되어 익스플로잇 체인을 형성합니다: OR 논리를 통한 서명 우회(webhook.php:33), API에서 가져온 값을 덮어쓰는 페이로드 값(AuthorizeNet.php:169-171, webhook.php:44-48), 그리고 누락된 승인 확인(webhook.php:61-75). 공격자가 결제 메타데이터를 위조하면 실제 대응하는 결제 없이 임의의 금액을 모든 사용자의 지갑에 크레딧 처리하고 plans_id를 포함하여 프리미엄 구독을 활성화할 수 있습니다(webhook.php:86-134). 이를 통해 유료 및 프리미엄 콘텐츠에 대한 무료 접근이 가능해지며, 플랫폼 소유자에게 직접적인 수익 손실을 초래합니다. 이 문제는 버전 29.0에서 수정되었습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 23.

모더레이션

수락

항목

VDB-379648

EPSS

0.00000

활동

낮음

출처

Interested in the pricing of exploits?

See the underground prices here!