WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 26.0 и более ранних конечная точка check.php плагина BlockonomicsYPT возвращает данные платежного поручения для любого биткойн-адреса без необходимости аутентификации. Конечная точка была разработана как помощник опроса AJAX для аутентифицированной страницы bill.php, но она не выполняет собственных проверок контроля доступа.
Поскольку адреса биткойнов общедоступны в блокчейне, злоумышленник может запросить платежные записи для любого адреса, используемого на платформе.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions 26.0 and prior, the BlockonomicsYPT plugin's check.php endpoint returns payment order data for any Bitcoin address without requiring authentication. The endpoint was designed as an AJAX polling helper for the authenticated invoice.php page, but it performs no access control checks of its own. Since Bitcoin addresses are publicly visible on the blockchain, an attacker can query payment records for any address used on the platform.
Характеристики атаки
Последствия
Строка CVSS v3.1