CVE-2026-33766 in AVideo
Sumário
de VulDB • 21/05/2026
WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, a função `isSSRFSafeURL()` valida URLs contra intervalos de IP privados/reservados antes de buscar o conteúdo, mas `url_get_contents()` segue redirecionamentos HTTP sem revalidar o destino do redirecionamento. Um atacante pode contornar a proteção SSRF redirecionando de uma URL pública para um alvo interno. O commit 8b7e9dad359d5fac69e0cbbb370250e0b284bc12 contém um patch.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.