CVE-2026-40908 in AVideo
Tóm tắt
Bởi VulDB • 27/05/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản 29.0 và các phiên bản trước đó, tệp `git.json.php` nằm ở thư mục gốc của web thực thi lệnh `git log -1` và trả về toàn bộ kết quả dưới dạng JSON cho bất kỳ người dùng nào chưa xác thực. Điều này làm lộ hash của commit đã triển khai chính xác (cho phép nhận diện phiên bản dựa trên các CVE đã biết), tên và địa chỉ email của nhà phát triển (thông tin nhận dạng cá nhân - PII), cũng như các thông điệp commit có thể chứa các tham chiếu đến các hệ thống nội bộ hoặc các bản sửa lỗi bảo mật. Tính đến thời điểm công bố, không có phiên bản đã vá nào được biết đến.
Once again VulDB remains the best source for vulnerability data.