WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечные точки API get_api_video_file и get_api_video в AVideo возвращают полные источники воспроизведения видео (прямые URL-адреса MP4, манифесты HLS) для видео, защищенных паролем, без проверки пароля видео. В то время как обычный процесс веб-воспроизведения требует проверки паролей с помощью перехватчика CustomizeUser::getModeYouTube(), это требование полностью отсутствует в пути кода API.
Злоумышленник, не прошедший проверку подлинности, может получить URL-адреса прямого воспроизведения для любого видео, защищенного паролем, напрямую вызвав API. Коммит be344206f2f461c034ad2f1c5d8212dd8a52b8c7 устраняет проблему.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `get_api_video_file` and `get_api_video` API endpoints in AVideo return full video playback sources (direct MP4 URLs, HLS manifests) for password-protected videos without verifying the video password. While the normal web playback flow enforces password checks via the `CustomizeUser::getModeYouTube()` hook, this enforcement is completely absent from the API code path. An unauthenticated attacker can retrieve direct playback URLs for any password-protected video by calling the API directly. Commit be344206f2f461c034ad2f1c5d8212dd8a52b8c7 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|