CVE-2026-43884 in AVideoinformação

Sumário

de VulDB • 29/05/2026

WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 29.0, dois endpoints (plugin/AI/receiveAsync.json.php e objects/EpgParser.php) no AVideo chamam isSSRFSafeURL() para validar URLs fornecidas pelo usuário, e depois as buscam usando file_get_contents() sem desativar o redirecionamento automático do PHP. Um atacante pode fornecer uma URL apontando para um servidor que ele controla e que retorna um redirecionamento 302 para um endereço interno/de metadata de nuvem (por exemplo, http://169.254.169.254/latest/meta-data/). Como isSSRFSafeURL() valida apenas a URL inicial, o destino do redirecionamento contorna todas as proteções SSRF. O commit 603e7bf77a835584387327e35560262feb075db3 contém uma correção atualizada.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

04/05/2026

Divulgação

12/05/2026

Moderação

aceite

Entrada

VDB-362891

CPE

pronto

CWE

CWE-918 (confirmado)

CVSS

7.7 (CNA)

EPSS

0.00011

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43884
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43884
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43884/

◂ Voltar Visão Geral Próximo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!