WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 25.0 и ниже конечная точка плагина/LiveLinks/proxy.php проверяет предоставленные пользователем URL-адреса на соответствие внутренним/частным сетям с помощью isSSRFSafeURL(), но проверяет только исходный URL-адрес. Когда исходный URL-адрес отвечает перенаправлением HTTP (заголовок Location), цель перенаправления извлекается через fakeBrowser() без повторной проверки, что позволяет злоумышленнику получить доступ к внутренним службам (метаданные облака, адреса RFC1918) через перенаправление, контролируемое злоумышленником.
Эта проблема исправлена в версии 26.0.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions 25.0 and below, the plugin/LiveLinks/proxy.php endpoint validates user-supplied URLs against internal/private networks using isSSRFSafeURL(), but only checks the initial URL. When the initial URL responds with an HTTP redirect (Location header), the redirect target is fetched via fakeBrowser() without re-validation, allowing an attacker to reach internal services (cloud metadata, RFC1918 addresses) through an attacker-controlled redirect. This issue is fixed in version 26.0.
Характеристики атаки
Последствия
Строка CVSS v3.1