WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка «categories.json.php», которая обслуживает API списка категорий, не обеспечивает принудительное управление доступом к категориям на основе групп пользователей. В пути запроса по умолчанию (без параметра `?user=`) фильтрация групп пользователей полностью пропускается, обнажая все неприватные категории, включая категории, ограниченные определенными группами пользователей.
Когда указан параметр `?user=`, ошибка путаницы типов приводит к тому, что фильтр использует членство в группе пользователя-администратора (user_id=1) вместо членства текущего пользователя, что делает фильтр неэффективным. Коммит 6e8a673eed07be5628d0b60fbfabd171f3ce74c9 содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `categories.json.php` endpoint, which serves the category listing API, fails to enforce user group-based access controls on categories. In the default request path (no `?user=` parameter), user group filtering is entirely skipped, exposing all non-private categories including those restricted to specific user groups. When the `?user=` parameter is supplied, a type confusion bug causes the filter to use the admin user's (user_id=1) group memberships instead of the current user's, rendering the filter ineffective. Commit 6e8a673eed07be5628d0b60fbfabd171f3ce74c9 contains a fix.
Характеристики атаки
Последствия
Строка CVSS v3.1