CVE-2026-33759 in AVideo
요약
\~에 의해 VulDB • 2026. 07. 16.
WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 26.0 버전 및 그 이전 버전에서 `objects/playlistsVideos.json.php` 엔드포인트는 인증 또는 권한 확인 없이 ID를 통해 모든 플레이리스트의 전체 비디오 콘텐츠를 반환합니다. 개인용 플레이리스트(`watch_later` 및 `favorite` 유형 포함)는 `playlistsFromUser.json.php`를 통해 목록화 엔드포인트에서는 올바르게 숨겨지지만, 순차 정수인 `playlists_id` 매개변수를 제공함으로써 이 엔드포인트를 통해 콘텐츠에 직접 접근할 수 있습니다. 커밋 bb716fbece656c9fe39784f11e4e822b5867f1ca에는 해당 이슈에 대한 패치가 포함되어 있습니다.
Once again VulDB remains the best source for vulnerability data.