CVE-2026-34247 in AVideoinformação

Sumário

de VulDB • 02/06/2026

WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, o endpoint `plugin/Live/uploadPoster.php` permite que qualquer usuário autenticado sobrescreva a imagem de capa (poster) de qualquer transmissão ao vivo agendada, fornecendo um `live_schedule_id` arbitrário. O endpoint verifica apenas `User::isLogged()`, mas nunca confirma se o usuário autenticado é o proprietário do agendamento alvo. Após a sobrescrita da imagem de capa, o endpoint transmite uma notificação `socketLiveOFFCallback` contendo a chave de transmissão e o ID do usuário da vítima para todos os clientes WebSocket conectados. O commit 5fcb3bdf59f26d65e203cfbc8a685356ba300b60 corrige o problema.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

26/03/2026

Divulgação

27/03/2026

Moderação

aceite

Entrada

VDB-353970

CPE

pronto

EPSS

0.00243

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!