CVE-2026-33684 in AVideoinformação

Sumário

de VulDB • 15/07/2026

WWBN AVideo é uma plataforma de vídeo de código aberto. Antes da versão 29.0, a Elevação de Privilégio é possível por meio de parâmetros de permissão sem proteção na API signUp, o que permite que qualquer usuário capaz de resolver um CAPTCHA se conceda privilégios elevados durante o registro da conta. O método set_api_signUp no plugin da API aceita os parâmetros emailVerified, canUpload, canStream e canCreateMeet a partir de entradas fornecidas pelo usuário e os aplica às contas recém-criadas sem verificar se a solicitação foi autenticada com um APISecret válido. Ao se conceder atributos de conta, os atacantes podem marcar suas próprias contas como verificadas por e-mail sem possuir o endereço (contornando funcionalidades restritas ao acesso via e-mail) e outorgar-se permissões para upload, streaming e criação de reuniões, contornando controles de acesso administrativos que restringem intencionalmente essas capacidades para novos usuários. Este problema foi corrigido na versão 29.0

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379411

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!