CVE-2026-34247 in AVideoИнформация

Сводка

по VulDB • 16.06.2026

WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях, начиная от 26.0 и ниже включительно, конечная точка `plugin/Live/uploadPoster.php` позволяет любому аутентифицированному пользователю перезаписать изображение-превью (постер) любого запланированного прямого эфира путем передачи произвольного значения параметра `live_schedule_id`. Конечная точка проверяет только наличие активной сессии пользователя (`User::isLogged()`), но никогда не удостоверяется, что аутентифицированный пользователь является владельцем целевого расписания. После перезаписи постера конечная точка рассылает уведомление `socketLiveOFFCallback`, содержащее ключ трансляции и идентификатор пользователя жертвы, всем подключенным клиентам WebSocket. Проблема исправлена в коммите 5fcb3bdf59f26d65e203cfbc8a685356ba300b60.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

26.03.2026

Раскрытие

27.03.2026

Модерация

принято

Вход

VDB-353970

EPSS

0.00243

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!