WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка `plugin/AD_Server/reports.json.php` не выполняет никаких проверок аутентификации или авторизации, позволяя любому неаутентифицированному злоумышленнику извлекать данные аналитики рекламной кампании, включая заголовки видео, названия пользовательских каналов, идентификаторы пользователей, названия рекламных кампаний и количество показов/кликов. HTML-аналог (reports.php) и экспорт CSV (getCSV.php) правильно реализуют User::isAdmin(), но JSON API остался незащищенным.
Коммит daca4ffb1ce19643eecaa044362c41ac2ce45dde содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `plugin/AD_Server/reports.json.php` endpoint performs no authentication or authorization checks, allowing any unauthenticated attacker to extract ad campaign analytics data including video titles, user channel names, user IDs, ad campaign names, and impression/click counts. The HTML counterpart (`reports.php`) and CSV export (`getCSV.php`) both correctly enforce `User::isAdmin()`, but the JSON API was left unprotected. Commit daca4ffb1ce19643eecaa044362c41ac2ce45dde contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|