CVE-2026-47696 in AVideoИнформация

Сводка

по VulDB • 01.06.2026

WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях 29.0 и более ранних плагин plugin/AuthorizeNet/processPayment.json.php зачисляет средства на кошелек вошедшего в систему пользователя, основываясь исключительно на контролируемом злоумышленником параметре POST с суммой. Эта конечная точка содержит пометку TODO для реальной интеграции с Authorize.Net, жестко задает значение $paymentSuccess = true и затем вызывает YPTWallet::addBalance() без проверки каких-либо транзакций Authorize.Net, подписи вебхука, токена хостинговой оплаты, nonce или записи о платеже на стороне сервера. Это позволяет любому вошедшему в систему пользователю добавлять произвольные средства на свой кошелек AVideo при включенных плагинах AuthorizeNet и YPTWallet.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

19.05.2026

Раскрытие

29.05.2026

Модерация

принято

Вход

VDB-367220

CPE

готов

CWE

CWE-345 (Подтверждённый)

CVSS

4.3 (VulDB)

EPSS

0.00018

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-47696
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-47696
CVE Details	https://www.cvedetails.com/cve/CVE-2026-47696/

◂ Предыдущий Обзор Далее ▸

Want to know what is going to be exploited?

We predict KEV entries!