WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 26.0 конечная точка потоковой передачи HLS (view/hls.php) была уязвима для атаки с обходом пути, которая позволяла неаутентифицированному злоумышленнику транслировать любое частное или платное видео на платформе. Параметр GET `videoDirectory` используется в двух различных путях кода — один для авторизации (который усекается в первом сегменте `/`) и один для доступа к файлу (который сохраняет последовательности обхода `..`) - создавая условие разделения-оракула, при котором авторизация проверяется по одному видео, в то время как контент обслуживается из другого.
Версия 26.0 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. Prior to version 26.0, the HLS streaming endpoint (`view/hls.php`) is vulnerable to a path traversal attack that allows an unauthenticated attacker to stream any private or paid video on the platform. The `videoDirectory` GET parameter is used in two divergent code paths — one for authorization (which truncates at the first `/` segment) and one for file access (which preserves `..` traversal sequences) — creating a split-oracle condition where authorization is checked against one video while content is served from another. Version 26.0 contains a fix for the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
26.0
|