CVE-2026-47696 in AVideoinformação

Sumário

de VulDB • 31/05/2026

WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões 29.0 e anteriores, o arquivo plugin/AuthorizeNet/processPayment.json.php credita a carteira do usuário conectado com base apenas no parâmetro POST amount controlado pelo atacante. O endpoint contém um TODO para cobrança real via Authorize.Net, define $paymentSuccess = true como valor fixo e, em seguida, chama YPTWallet::addBalance() sem validar qualquer transação do Authorize.Net, assinatura de webhook, token de pagamento hospedado, nonce ou registro de pagamento do lado do servidor. Isso permite que qualquer usuário conectado adicione fundos arbitrários à sua própria carteira do AVideo quando os plugins AuthorizeNet e YPTWallet estiverem habilitados.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

19/05/2026

Divulgação

29/05/2026

Moderação

aceite

Entrada

VDB-367220

CPE

pronto

CWE

CWE-345 (confirmado)

CVSS

4.3 (VulDB)

EPSS

0.00020

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-47696
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-47696
CVE Details	https://www.cvedetails.com/cve/CVE-2026-47696/

◂ Voltar Visão Geral Próximo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!