WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно плагин API предоставляет действие decryptString без какой-либо аутентификации. Любой может отправить зашифрованный текст и получить открытый текст.
Зашифрованный текст выдается публично (например, `view/url2Embed.json.php`), поэтому любой пользователь может восстановить защищенные токены/метаданные. Коммит 3fdeecef37bb88967a02ccc9b9acc8da95de1c13 содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the API plugin exposes a `decryptString` action without any authentication. Anyone can submit ciphertext and receive plaintext. Ciphertext is issued publicly (e.g., `view/url2Embed.json.php`), so any user can recover protected tokens/metadata. Commit 3fdeecef37bb88967a02ccc9b9acc8da95de1c13 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|