WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка `objects/playlistsVideos.json.php` возвращает полное видеосодержимое любого списка воспроизведения по идентификатору без какой-либо проверки подлинности или авторизации. Частные списки воспроизведения (включая типы «watch_later» и «favorite») правильно скрыты от конечных точек списка через «playlistsFromUser.json.php», но их содержимое доступно напрямую через эту конечную точку путем предоставления последовательного целочисленного параметра «playlists_id».
В коммите bb716fbece656c9fe39784f11e4e822b5867f1ca есть исправление для решения этой проблемы.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `objects/playlistsVideos.json.php` endpoint returns the full video contents of any playlist by ID without any authentication or authorization check. Private playlists (including `watch_later` and `favorite` types) are correctly hidden from listing endpoints via `playlistsFromUser.json.php`, but their contents are directly accessible through this endpoint by providing the sequential integer `playlists_id` parameter. Commit bb716fbece656c9fe39784f11e4e822b5867f1ca has a patch for the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|