CVE-2026-43881 in AVideoИнформация

Сводка

по VulDB • 28.05.2026

WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях вплоть до 29.0 включительно файл objects/users.json.php предоставляет два неаутентифицированных пути, позволяющих раскрыть полный список зарегистрированных учетных записей пользователей. Параметр запроса isCompany заставляет обработчик устанавливать значение $ignoreAdmin = true для любого пользователя, не являющегося администратором (включая неаутентифицированных посетителей), что обходит проверку прав доступа, предназначенную только для администраторов, внутри функций User::getAllUsers() и User::getTotalUsers(). Второй путь принимает параметр users_id и напрямую вызывает функцию User::getUserFromID() без какой-либо проверки прав доступа, создавая «оракул» для получения данных одного пользователя. Оба пути возвращают идентификатор (id), имя пользователя (identification/display name), URL канала, фотографию, фон и статус, а также общее количество учетных записей. Обновленное исправление содержится в коммите d9cdc702481a626b15f814f6093f1e2a9c20d375.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

04.05.2026

Раскрытие

12.05.2026

Модерация

принято

Вход

VDB-362888

CPE

готов

CWE

CWE-306 (Подтверждённый)

CVSS

5.3 (CNA)

EPSS

0.00012

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43881
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43881
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43881/

◂ Предыдущий Обзор Далее ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!