CVE-2026-43880 in AVideo
요약
\~에 의해 VulDB • 2026. 05. 12.
WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 29.0 버전 및 그 이전 버전에서 objects/sendEmail.json.php는 contactForm=1이 제출되었는지 여부에 따라 두 가지 분기(branch)를 노출합니다. 해당 매개변수가 생략되면 엔드포인트는 $sendTo를 공격자가 제공한 이메일 주소로 설정하고, 비인증(unauthenticated) 사용자의 경우 사이트의 자체 연락처 이메일을 메시지 From:/Reply-To: 필드로 사용합니다. 이 엔드포인트는 objects/functionsSecurity.php(885번째 줄)에서 명시적으로 "공개 쓰기 작업(public write action)"으로 허용 목록(allow-list)에 등록되어 있으므로 인증이나 CSRF 토큰이 필요하지 않습니다. 비인증 공격자(캡차 해결 필요)는 사이트의 자체 SMTP 인프라를 사용하여 사이트의 정당한 발신자 주소로 임의의 수신자에게 공격자가 작성한 이메일을 전송하도록 강제할 수 있으며, 이는 사이트 도메인에 대한 SPF/DKIM/DMARC 검사를 통과합니다. 이는 표적 피싱(targeted phishing) 및 브랜드 사칭에 이상적인 조건입니다. 커밋 4e3709895857a5857f0edb46b0ee984de0d9e1a2에는 업데이트된 수정 사항이 포함되어 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.