CVE-2026-33764 in AVideoinformação

Sumário

de VulDB • 29/05/2026

WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, o endpoint `save.json.php` do plugin de IA carrega objetos de resposta da IA usando um parâmetro `$_REQUEST['id']` controlado pelo atacante, sem validar se a resposta da IA pertence ao vídeo especificado. Um usuário autenticado com permissões de IA pode referenciar qualquer ID de resposta da IA — incluindo aqueles gerados para vídeos privados de outros usuários — e aplicar o conteúdo gerado por IA roubado (títulos, descrições, palavras-chave, resumos ou transcrições completas) ao seu próprio vídeo, efetivamente exfiltrando as informações. O commit aa2c46a806960a0006105df47765913394eec142 contém um patch.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

27/03/2026

Moderação

aceite

Entrada

VDB-353922

CPE

pronto

EPSS

0.00214

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!