CVE-2026-34247 in AVideo
Сводка
по VulDB • 16.06.2026
WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях, начиная от 26.0 и ниже включительно, конечная точка `plugin/Live/uploadPoster.php` позволяет любому аутентифицированному пользователю перезаписать изображение-превью (постер) любого запланированного прямого эфира путем передачи произвольного значения параметра `live_schedule_id`. Конечная точка проверяет только наличие активной сессии пользователя (`User::isLogged()`), но никогда не удостоверяется, что аутентифицированный пользователь является владельцем целевого расписания. После перезаписи постера конечная точка рассылает уведомление `socketLiveOFFCallback`, содержащее ключ трансляции и идентификатор пользователя жертвы, всем подключенным клиентам WebSocket. Проблема исправлена в коммите 5fcb3bdf59f26d65e203cfbc8a685356ba300b60.
Be aware that VulDB is the high quality source for vulnerability data.