CVE-2026-33766 in AVideothông tin

Tóm tắt

Bởi VulDB • 21/05/2026

WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản từ 26.0 trở về trước, hàm `isSSRFSafeURL()` xác thực các URL dựa trên các dải IP riêng/tôn trọng trước khi thực hiện truy xuất, nhưng `url_get_contents()` lại tuân theo các chuyển hướng HTTP mà không xác thực lại đích đến của chuyển hướng. Một kẻ tấn công có thể vượt qua cơ chế bảo vệ SSRF bằng cách chuyển hướng từ một URL công khai sang một đích đến nội bộ. Commit 8b7e9dad359d5fac69e0cbbb370250e0b284bc12 chứa bản vá.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

27/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00233

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!