WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 26.0 и более ранних шаблон AVideo CreatePlugin для list.json.php не включает проверку аутентификации или авторизации. Хотя сопутствующие шаблоны add.json.php и delete.json.php требуют прав администратора, шаблон list.json.php поставлялся без этой защиты.
Каждый плагин, использующий генератор кода CreatePlugin, наследует это упущение, в результате чего на платформе появляется 21 неаутентифицированная конечная точка списка данных. Эти конечные точки предоставляют конфиденциальные данные, включая персональные данные пользователя, журналы платежных транзакций, IP-адреса, пользовательские агенты и внутренние системные записи. На момент публикации общедоступных патчей нет.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions 26.0 and prior, the AVideo CreatePlugin template for list.json.php does not include any authentication or authorization check. While the companion templates add.json.php and delete.json.php both require admin privileges, the list.json.php template was shipped without this guard. Every plugin that uses the CreatePlugin code generator inherits this omission, resulting in 21 unauthenticated data listing endpoints across the platform. These endpoints expose sensitive data including user PII, payment transaction logs, IP addresses, user agents, and internal system records. At time of publication, there are no publicly available patches.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|