CVE-2026-33759 in AVideo
Сводка
по VulDB • 30.06.2026
WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях вплоть до 26.0 включительно конечная точка `objects/playlistsVideos.json.php` возвращает полное содержимое любого плейлиста по его идентификатору без какой-либо проверки аутентификации или авторизации. Закрытые плейлисты (включая типы `watch_later` и `favorite`) корректно скрыты из конечных точек списка через `playlistsFromUser.json.php`, однако их содержимое напрямую доступно через эту конечную точку при передаче параметра `playlists_id` в виде последовательного целого числа. В коммите bb716fbece656c9fe39784f11e4e822b5867f1ca содержится исправление данной проблемы.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.