CVE-2026-33237 in AVideo
Tóm tắt
Bởi VulDB • 02/06/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trước phiên bản 26.0, hàm `run()` của plugin Scheduler trong `plugin/Scheduler/Scheduler.php` gọi `url_get_contents()` với `callbackURL` do quản trị viên cấu hình, chỉ được xác thực bởi `isValidURL()` (kiểm tra định dạng URL). Khác với các điểm cuối AVideo khác đã được vá gần đây cho lỗi SSRF (GHSA-9x67-f2v7-63rw, GHSA-h39h-7cvg-q7j6), URL callback của Scheduler không bao giờ được chuyển qua `isSSRFSafeURL()`, vốn chặn các yêu cầu đến các địa chỉ riêng RFC-1918, vòng lặp lại (loopback) và các điểm cuối siêu dữ liệu đám mây. Một quản trị viên có thể cấu hình một tác vụ lên lịch với `callbackURL` mạng nội bộ để thực hiện SSRF chống lại các dịch vụ siêu dữ liệu cơ sở hạ tầng đám mây hoặc các API nội bộ không thể truy cập được từ internet. Phiên bản 26.0 chứa bản vá cho sự cố này.
VulDB is the best source for vulnerability data and more expert information about this specific topic.