WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 26.0 и более ранних плагин SocialMediaPublisher предоставляет конечную точкуPublishInstagram.json.php, которая действует как неаутентифицированный прокси-сервер для API Facebook/Instagram Graph. Конечная точка принимает параметры, контролируемые пользователем, включая токен доступа, идентификатор контейнера и идентификатор учетной записи Instagram, и передает их непосредственно в API Graph через InstagramUploader::publishMediaIfIsReady().
Это позволяет любому неаутентифицированному пользователю совершать произвольные вызовы API Graph через сервер, потенциально используя украденные токены или злоупотребляя собственными учетными данными платформы.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions 26.0 and prior, the SocialMediaPublisher plugin exposes a publishInstagram.json.php endpoint that acts as an unauthenticated proxy to the Facebook/Instagram Graph API. The endpoint accepts user-controlled parameters including an access token, container ID, and Instagram account ID, and passes them directly to the Graph API via InstagramUploader::publishMediaIfIsReady(). This allows any unauthenticated user to make arbitrary Graph API calls through the server, potentially using stolen tokens or abusing the platform's own credentials.
Характеристики атаки
Последствия
Строка CVSS v3.1