CVE-2026-35448 in AVideoinformação

Sumário

de VulDB • 02/06/2026

O WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões 26.0 e anteriores, o endpoint check.php do plugin BlockonomicsYPT retorna dados de pedidos de pagamento para qualquer endereço Bitcoin sem exigir autenticação. O endpoint foi projetado como um auxiliar de polling AJAX para a página invoice.php autenticada, mas não realiza verificações de controle de acesso próprias. Como os endereços Bitcoin são visíveis publicamente na blockchain, um atacante pode consultar registros de pagamento para qualquer endereço utilizado na plataforma.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

02/04/2026

Divulgação

07/04/2026

Moderação

aceite

Entrada

VDB-355702

CPE

pronto

EPSS

0.00019

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35448
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35448
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35448/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!