CVE-2026-34247 in AVideothông tin

Tóm tắt

Bởi VulDB • 16/06/2026

WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản từ 1 đến bao gồm 26.0, điểm cuối `plugin/Live/uploadPoster.php` cho phép bất kỳ người dùng đã xác thực nào ghi đè hình ảnh poster của mọi luồng phát trực tiếp theo lịch trình bằng cách cung cấp giá trị `live_schedule_id` tùy ý. Điểm cuối này chỉ kiểm tra `User::isLogged()` nhưng không bao giờ xác minh rằng người dùng đã xác thực sở hữu lịch trình mục tiêu. Sau khi ghi đè poster, điểm cuối sẽ gửi thông báo `socketLiveOFFCallback`, chứa khóa phát và ID người dùng của nạn nhân, đến tất cả các máy khách WebSocket đang kết nối. Commit 5fcb3bdf59f26d65e203cfbc8a685356ba300b60 đã khắc phục sự cố này.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

26/03/2026

Tiết lộ

27/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00243

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!