anonhaven

CVE-2026-33043

HIGH CVSS 3.1: 8,1
Обновлено 20 марта 2026
PHP
Параметр Значение
CVSS 8,1 (HIGH)
Устранено в версии 26.0
Тип уязвимости CWE-942
Поставщик PHP
Публичный эксплойт Нет

WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 25.0 и ниже /objects/phpsessionid.json.php предоставляет текущий идентификатор сеанса PHP любому неаутентифицированному запросу. ФункцияallowOrigin() отражает любой заголовок Origin обратно в Access-Control-Allow-Origin с Access-Control-Allow-Credentials: true, что позволяет осуществлять кражу сеансов между источниками и полный захват учетной записи. Эта проблема исправлена ​​в версии 26.0.

Показать оригинальное описание (EN)

WWBN AVideo is an open source video platform. In versions 25.0 and below, /objects/phpsessionid.json.php exposes the current PHP session ID to any unauthenticated request. The allowOrigin() function reflects any Origin header back in Access-Control-Allow-Origin with Access-Control-Allow-Credentials: true, enabling cross-origin session theft and full account takeover. This issue has been fixed in version 26.0.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-942

Ссылки 2

https://github.com/WWBN/AVideo/commit/9f4f51e5df5e3343400f9d0068705f5482b6f930
security-advisories@github.com
https://github.com/WWBN/AVideo/security/advisories/GHSA-qc3p-398r-p59j
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33061

PHP

5,8

CVE-2026-4474

PHP

4,8

CVE-2026-4473

PHP

5,1

CVE-2026-33041

PHP

5,3

CVE-2026-33039

PHP

8,6