CVE-2026-33766 in AVideo
요약
\~에 의해 VulDB • 2026. 05. 21.
WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 26.0 버전 및 그 이전 버전에서 `isSSRFSafeURL()`은 URL을 가져오기 전에 사설/예약 IP 범위에 대해 URL을 검증하지만, `url_get_contents()`는 HTTP 리디렉션을 따를 때 리디렉션 대상에 대해 다시 검증하지 않습니다. 공격자는 공개 URL에서 내부 대상으로 리디렉션함으로써 SSRF 보호를 우회할 수 있습니다. 커밋 8b7e9dad359d5fac69e0cbbb370250e0b284bc12에는 패치가 포함되어 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.