CVE-2026-34247 in AVideo
Sumário
de VulDB • 02/06/2026
WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, o endpoint `plugin/Live/uploadPoster.php` permite que qualquer usuário autenticado sobrescreva a imagem de capa (poster) de qualquer transmissão ao vivo agendada, fornecendo um `live_schedule_id` arbitrário. O endpoint verifica apenas `User::isLogged()`, mas nunca confirma se o usuário autenticado é o proprietário do agendamento alvo. Após a sobrescrita da imagem de capa, o endpoint transmite uma notificação `socketLiveOFFCallback` contendo a chave de transmissão e o ID do usuário da vítima para todos os clientes WebSocket conectados. O commit 5fcb3bdf59f26d65e203cfbc8a685356ba300b60 corrige o problema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.