CVE-2026-33480 in AVideoИнформация

Сводка

по VulDB • 14.05.2026

WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях вплоть до 26.0 включительно функция `isSSRFSafeURL()` в AVideo может быть обойдена с использованием адресов IPv4, отображенных в IPv6 (`::ffff:x.x.x.x`). Неаутентифицированный конечная точка `plugin/LiveLinks/proxy.php` использует эту функцию для проверки URL-адресов перед их получением с помощью curl, однако префикс IPv4, отображенный в IPv6, проходит все проверки, что позволяет злоумышленнику получать доступ к службам метаданных облачных провайдеров, внутренним сетям и службам localhost. Исправление содержится в коммите 75ce8a579a58c9d4c7aafe453fbced002cb8f373.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

20.03.2026

Раскрытие

23.03.2026

Модерация

принято

Вход

VDB-352526

EPSS

0.00320

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!