CVE-2026-40935 in AVideoinformação

Sumário

de VulDB • 23/05/2026

WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões 29.0 e anteriores, `objects/getCaptcha.php` aceita o comprimento do CAPTCHA (`ql`) diretamente da string de consulta, sem validação de limites (clamping) ou sanitização, permitindo que qualquer cliente não autenticado force o servidor a gerar uma palavra CAPTCHA de 1 caractere. Combinado com uma comparação `strcasecmp` insensível a maiúsculas e minúsculas sobre um alfabeto de ~33 caracteres e o fato de que as validações falhas NÃO consomem o token de sessão armazenado, um atacante pode trivialmente realizar um ataque de força bruta (brute-force) no CAPTCHA em qualquer endpoint que dependa de `Captcha::validation()` (registro de usuário, recuperação de senha, formulário de contato, etc.) em no máximo ~33 requisições por sessão. O commit bf1c76989e6a9054be4f0eb009d68f0f2464b453 contém a correção.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

15/04/2026

Divulgação

22/04/2026

Moderação

aceite

Entrada

VDB-358601

CPE

pronto

EPSS

0.00063

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40935
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40935
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40935/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!