WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 26.0 и более ранних конечная точка плагина/API/check.ffmpeg.json.php проверяет конфигурацию удаленного сервера FFmpeg и возвращает статус подключения без какой-либо аутентификации. Для всех однородных конечных точек управления FFmpeg (kill.ffmpeg.json.php, list.ffmpeg.json.php, ffmpeg.php) требуется User::isAdmin().
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions 26.0 and prior, the plugin/API/check.ffmpeg.json.php endpoint probes the FFmpeg remote server configuration and returns connectivity status without any authentication. All sibling FFmpeg management endpoints (kill.ffmpeg.json.php, list.ffmpeg.json.php, ffmpeg.php) require User::isAdmin().
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1