WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 26.0 уязвимость подделки запроса на стороне сервера (SSRF) существовала в `plugin/Live/standAloneFiles/saveDVR.json.php`. Когда плагин AVideo Live развертывается в автономном режиме (предполагаемая конфигурация для этого файла), параметр $_REQUEST['webSiteRootURL']` используется непосредственно для создания URL-адреса, который извлекается на стороне сервера через `file_get_contents()`.
Аутентификация, проверка происхождения или внесение в список разрешенных URL-адресов не выполняются. Версия 26.0 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. Prior to version 26.0, a Server-Side Request Forgery (SSRF) vulnerability exists in `plugin/Live/standAloneFiles/saveDVR.json.php`. When the AVideo Live plugin is deployed in standalone mode (the intended configuration for this file), the `$_REQUEST['webSiteRootURL']` parameter is used directly to construct a URL that is fetched server-side via `file_get_contents()`. No authentication, origin validation, or URL allowlisting is performed. Version 26.0 contains a patch for the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
26.0
|