WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 22.0 конечная точка API `aVideoEncoder.json.php` принимала параметр `downloadURL` и извлекала указанный ресурс на стороне сервера без надлежащей проверки или списка разрешений. Это позволяет прошедшим проверку подлинности пользователям запускать запросы на стороне сервера к произвольным URL-адресам (включая конечные точки внутренней сети).
Злоумышленник, прошедший проверку подлинности, может использовать SSRF для взаимодействия с внутренними службами и получения конфиденциальных данных (например, внутренних API, служб метаданных), что потенциально может привести к дальнейшему компрометации в зависимости от среды развертывания. Эта проблема исправлена в AVideo версии 22.0.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. Prior to version 22.0, the `aVideoEncoder.json.php` API endpoint accepts a `downloadURL` parameter and fetches the referenced resource server-side without proper validation or an allow-list. This allows authenticated users to trigger server-side requests to arbitrary URLs (including internal network endpoints). An authenticated attacker can leverage SSRF to interact with internal services and retrieve sensitive data (e.g., internal APIs, metadata services), potentially leading to further compromise depending on the deployment environment. This issue has been fixed in AVideo version 22.0.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
22.0
|