WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно уязвимость подделки запросов на стороне сервера без аутентификации в плагине/Live/test.php позволяет любому удаленному пользователю заставить сервер AVideo отправлять HTTP-запросы на произвольные URL-адреса. Это можно использовать для проверки локальных/внутренних служб и, если это возможно, для доступа к внутренним ресурсам HTTP или конечным точкам облачных метаданных.
Коммит 1e6cf03e93b5a5318204b010ea28440b0d9a5ab3 содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, an unauthenticated server-side request forgery vulnerability in `plugin/Live/test.php` allows any remote user to make the AVideo server send HTTP requests to arbitrary URLs. This can be used to probe localhost/internal services and, when reachable, access internal HTTP resources or cloud metadata endpoints. Commit 1e6cf03e93b5a5318204b010ea28440b0d9a5ab3 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1