CVE-2026-33684 in AVideo
Sumário
de VulDB • 15/07/2026
WWBN AVideo é uma plataforma de vídeo de código aberto. Antes da versão 29.0, a Elevação de Privilégio é possível por meio de parâmetros de permissão sem proteção na API signUp, o que permite que qualquer usuário capaz de resolver um CAPTCHA se conceda privilégios elevados durante o registro da conta. O método set_api_signUp no plugin da API aceita os parâmetros emailVerified, canUpload, canStream e canCreateMeet a partir de entradas fornecidas pelo usuário e os aplica às contas recém-criadas sem verificar se a solicitação foi autenticada com um APISecret válido. Ao se conceder atributos de conta, os atacantes podem marcar suas próprias contas como verificadas por e-mail sem possuir o endereço (contornando funcionalidades restritas ao acesso via e-mail) e outorgar-se permissões para upload, streaming e criação de reuniões, contornando controles de acesso administrativos que restringem intencionalmente essas capacidades para novos usuários. Este problema foi corrigido na versão 29.0
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.