WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно функция verifyTokenSocket() в плагине/YPTSocket/functions.php имеет закомментированную проверку таймаута токена, в результате чего токены WebSocket никогда не истекают, несмотря на то, что они генерируются с 12-часовым таймаутом. Это позволяет захваченным или законно полученным токенам обеспечивать постоянный доступ к WebSocket даже после того, как учетные записи пользователей будут удалены, заблокированы или понижены в должности администратора.
Токены администратора предоставляют доступ к данным о подключении в реальном времени для всех онлайн-пользователей, включая IP-адреса, информацию о браузере и расположение страниц. Коммит 5d5237121bf82c24e9e0fdd5bc1699f1157783c5 устраняет проблему.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `verifyTokenSocket()` function in `plugin/YPTSocket/functions.php` has its token timeout validation commented out, causing WebSocket tokens to never expire despite being generated with a 12-hour timeout. This allows captured or legitimately obtained tokens to provide permanent WebSocket access, even after user accounts are deleted, banned, or demoted from admin. Admin tokens grant access to real-time connection data for all online users including IP addresses, browser info, and page locations. Commit 5d5237121bf82c24e9e0fdd5bc1699f1157783c5 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|