WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка `plugin/Live/uploadPoster.php` позволяет любому аутентифицированному пользователю перезаписывать изображение постера для любого запланированного прямого потока, предоставляя произвольный `live_schedule_id`. Конечная точка проверяет только `User::isLogged()`, но никогда не проверяет, что аутентифицированный пользователь владеет целевым расписанием.
После перезаписи плаката конечная точка передает уведомление «socketLiveOFFCallback», содержащее широковещательный ключ жертвы и идентификатор пользователя, всем подключенным клиентам WebSocket. Коммит 5fcb3bdf59f26d65e203cfbc8a685356ba300b60 устраняет проблему.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `plugin/Live/uploadPoster.php` endpoint allows any authenticated user to overwrite the poster image for any scheduled live stream by supplying an arbitrary `live_schedule_id`. The endpoint only checks `User::isLogged()` but never verifies that the authenticated user owns the targeted schedule. After overwriting the poster, the endpoint broadcasts a `socketLiveOFFCallback` notification containing the victim's broadcast key and user ID to all connected WebSocket clients. Commit 5fcb3bdf59f26d65e203cfbc8a685356ba300b60 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|