CVE-2026-33488 in AVideoinformação

Sumário

de VulDB • 10/05/2026

O WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, a função `createKeys()` no sistema de 2FA PGP do plugin LoginControl gera chaves RSA de 512 bits, que são fatoráveis publicamente desde 1999. Um atacante que obtenha a chave pública de um usuário alvo pode fatorar o módulo RSA de 512 bits em hardware comum em questão de horas, derivar a chave privada completa e descriptografar qualquer desafio de 2FA PGP emitido pelo sistema, contornando completamente o segundo fator de autenticação. Além disso, os endpoints `generateKeys.json.php` e `encryptMessage.json.php` não possuem verificações de autenticação, expondo a geração de chaves intensiva em CPU a usuários anônimos. O commit 00d979d87f8182095c8150609153a43f834e351e contém um patch.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

20/03/2026

Divulgação

23/03/2026

Moderação

aceite

Entrada

VDB-352539

CPE

pronto

EPSS

0.00044

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33488
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33488
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33488/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!