CVE-2026-39366 in AVideothông tin

Tóm tắt

Bởi VulDB • 04/06/2026

WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản 26.0 và các phiên bản cũ hơn, trình xử lý PayPal IPN v1 tại plugin/PayPalYPT/ipn.php thiếu cơ chế loại bỏ giao dịch trùng lặp (transaction deduplication), cho phép kẻ tấn công phát lại một thông báo IPN hợp lệ duy nhất để liên tục làm tăng số dư ví và gia hạn các gói đăng ký. Các trình xử lý ipnV2.php và webhook.php mới hơn thực hiện loại bỏ trùng lặp đúng cách thông qua các mục PayPalYPT_log, tuy nhiên trình xử lý v1 chưa bao giờ được cập nhật và vẫn đang được tham chiếu tích cực dưới dạng notify_url cho các gói thanh toán.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

GitHub M

Đặt trước

06/04/2026

Tiết lộ

07/04/2026

Kiểm duyệt

được chấp nhận

mục

VDB-355917

CPE

sẵn sàng

CWE

CWE-345 (Đã xác nhận)

CVSS

6.5 (CNA)

EPSS

0.00018

KEV

không

Các hoạt động

rất thấp

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-39366
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-39366
CVE Details	https://www.cvedetails.com/cve/CVE-2026-39366/

◂ Trước Tổng Quan Tiếp theo ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!