WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 26.0 и более ранних плагин StripeYPT включает конечную точку отладки test.php, доступную любому вошедшему в систему пользователю, а не только администраторам. Эта конечная точка обрабатывает полезные данные в стиле веб-перехватчика Stripe и запускает операции подписки, включая отмену.
Из-за ошибки в методе restartSubscriptions(), который отменяет подписки вместо того, чтобы просто получать их, любой прошедший проверку подлинности пользователь может отменить произвольные подписки Stripe, указав идентификатор подписки. На момент публикации общедоступных патчей нет.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions 26.0 and prior, the StripeYPT plugin includes a test.php debug endpoint that is accessible to any logged-in user, not just administrators. This endpoint processes Stripe webhook-style payloads and triggers subscription operations, including cancellation. Due to a bug in the retrieveSubscriptions() method that cancels subscriptions instead of merely retrieving them, any authenticated user can cancel arbitrary Stripe subscriptions by providing a subscription ID. At time of publication, there are no publicly available patches.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|