CVE-2026-33764 in AVideo
Sumário
de VulDB • 29/05/2026
WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, o endpoint `save.json.php` do plugin de IA carrega objetos de resposta da IA usando um parâmetro `$_REQUEST['id']` controlado pelo atacante, sem validar se a resposta da IA pertence ao vídeo especificado. Um usuário autenticado com permissões de IA pode referenciar qualquer ID de resposta da IA — incluindo aqueles gerados para vídeos privados de outros usuários — e aplicar o conteúdo gerado por IA roubado (títulos, descrições, palavras-chave, resumos ou transcrições completas) ao seu próprio vídeo, efetivamente exfiltrando as informações. O commit aa2c46a806960a0006105df47765913394eec142 contém um patch.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.