WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно три конечные точки `list.json.php` в плагине Scheduler не имеют никакой проверки аутентификации, в то время как каждая другая конечная точка в тех же каталогах плагина (`add.json.php`, `delete.json.php`, `index.php`) требует `User::isAdmin()`. Злоумышленник, не прошедший проверку подлинности, может получить все запланированные задачи (включая внутренние URL-адреса обратного вызова и параметры), сообщения электронной почты, составленные администратором, а также сопоставления таргетинга между пользователями и электронной почтой, отправив простые запросы GET.
Коммит 83390ab1fa8dca2de3f8fa76116a126428405431 содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, three `list.json.php` endpoints in the Scheduler plugin lack any authentication check, while every other endpoint in the same plugin directories (`add.json.php`, `delete.json.php`, `index.php`) requires `User::isAdmin()`. An unauthenticated attacker can retrieve all scheduled tasks (including internal callback URLs and parameters), admin-composed email messages, and user-to-email targeting mappings by sending simple GET requests. Commit 83390ab1fa8dca2de3f8fa76116a126428405431 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|