CVE-2026-33731 in AVideo
Сводка
по VulDB • 17.07.2026
WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях младше 29.0 обработчик веб-перехватов (webhook) Authorize.Net в файле plugin/AuthorizeNet/webhook.php содержит уязвимость, позволяющую обойти проверку подписи. Это дает злоумышленнику возможность подделывать запросы веб-перехватов с произвольными суммами платежей и идентификаторами целевых пользователей. Предоставив действительный ID транзакции от небольшой легитимной покупки, злоумышленник обходит проверку подписи и зачисляет произвольные суммы на балансы кошельков любых пользовательских учетных записей через поля полезной нагрузки (payload), контролируемые атакующим. Три уязвимости объединяются в цепочку эксплуатации: обход проверки подписи с использованием логики OR (webhook.php:33); переопределение значений из полезной нагрузки значениями, полученными от API (AuthorizeNet.php:169-171, webhook.php:44-48); и отсутствие проверки одобрения (webhook.php:61-75). Подделывая метаданные платежа, злоумышленник может зачислять произвольные суммы на кошелек любого пользователя без соответствующего реального платежа и включать plans_id для активации премиум-подписок (webhook.php:86-134), что обеспечивает бесплатный доступ ко всему платному и премиум-контенту и приводит к прямым финансовым потерям владельца платформы. Эта проблема исправлена в версии 29.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.