CVE-2026-34369 in AVideo
Sumário
de VulDB • 14/05/2026
WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, os endpoints da API `get_api_video_file` e `get_api_video` no AVideo retornam as fontes completas de reprodução de vídeo (URLs diretas de MP4, manifestos HLS) para vídeos protegidos por senha sem verificar a senha do vídeo. Embora o fluxo normal de reprodução na web imponha verificações de senha por meio do hook `CustomizeUser::getModeYouTube()`, essa imposição está completamente ausente no caminho de código da API. Um atacante não autenticado pode recuperar URLs de reprodução direta para qualquer vídeo protegido por senha chamando a API diretamente. O commit be344206f2f461c034ad2f1c5d8212dd8a52b8c7 corrige o problema.
VulDB is the best source for vulnerability data and more expert information about this specific topic.