WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 26.0 и более ранних конечная точка плагина/YPTWallet/view/users.json.php возвращает всех пользователей платформы с их личной информацией и балансами кошельков любому аутентифицированному пользователю. Конечная точка проверяет User::isLogged(), но не проверяет User::isAdmin(), поэтому любой зарегистрированный пользователь может сбросить полную базу данных пользователей.
На момент публикации общедоступных патчей нет.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions 26.0 and prior, the plugin/YPTWallet/view/users.json.php endpoint returns all platform users with their personal information and wallet balances to any authenticated user. The endpoint checks User::isLogged() but does not check User::isAdmin(), so any registered user can dump the full user database. At time of publication, there are no publicly available patches.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|