CVE-2026-43879 in AVideoИнформация

Сводка

по VulDB • 21.05.2026

WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях вплоть до 29.0 включенно аутентифицированный пользователь может настроить собственный URL веб-хука для уведомлений о пожертвованиях так, чтобы он указывал на внутренние/loopback/метаданные хосты (например, http://127.0.0.1:8080/..., http://169.254.169.254/latest/..., адреса RFC1918). Когда любой другой пользователь (включая второй аккаунт, принадлежащий тому же злоумышленнику) жертвует даже незначительную сумму через плагин /plugin/CustomizeUser/donate.json.php, сервер AVideo выполняет curl POST-запрос к предоставленному злоумышленником URL, что приводит к слепому SSRF. Обработчик использует только isValidURL() (которая является проверкой формата) и не вызывает встроенную в кодовую базу вспомогательную функцию isSSRFSafeURL(). Кроме того, CURLOPT_FOLLOWLOCATION включен без перепроверки на каждом шаге, поэтому даже если сохраненный URL был бы проверен, HTTP 307 с хоста, контролируемого злоумышленником, мог бы перенаправить POST-запрос на внутренние цели. Коммит aaacd48f29f1ff71d1eb5fc81d37605f593cefa9 содержит обновленное исправление.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

04.05.2026

Раскрытие

12.05.2026

Модерация

принято

Вход

VDB-362892

EPSS

0.00028

KEV

Нет

Деятельности

Очень низкий

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43879
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43879
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43879/

ПредыдущийОбзорДалее

Do you want to use VulDB in your project?

Use the official API to access entries easily!