CVE-2026-33759 in AVideo
Sumário
de VulDB • 15/06/2026
O WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, o endpoint `objects/playlistsVideos.json.php` retorna o conteúdo completo de vídeo de qualquer playlist por ID, sem nenhuma verificação de autenticação ou autorização. Playlists privadas (incluindo os tipos `watch_later` e `favorite`) estão corretamente ocultas dos endpoints de listagem via `playlistsFromUser.json.php`, mas seus conteúdos são diretamente acessíveis por meio deste endpoint ao fornecer o parâmetro `playlists_id` como um número inteiro sequencial. O commit bb716fbece656c9fe39784f11e4e822b5867f1ca contém um patch para o problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.