anonhaven

CVE-2026-35452

MEDIUM CVSS 3.1: 5,3
Обновлено 6 апреля 2026
PHP
Параметр Значение
CVSS 5,3 (MEDIUM)
Тип уязвимости CWE-200 (Раскрытие информации)
Поставщик PHP
Публичный эксплойт Нет

WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 26.0 и более ранних версиях конечная точка плагина/CloneSite/client.log.php обслуживает файл журнала операции клонирования без какой-либо аутентификации. Каждая другая конечная точка в каталоге плагинов CloneSite применяет User::isAdmin().

Журнал содержит внутренние пути файловой системы, URL-адреса удаленных серверов и метаданные SSH-соединения.

Показать оригинальное описание (EN)

WWBN AVideo is an open source video platform. In versions 26.0 and prior, the plugin/CloneSite/client.log.php endpoint serves the clone operation log file without any authentication. Every other endpoint in the CloneSite plugin directory enforces User::isAdmin(). The log contains internal filesystem paths, remote server URLs, and SSH connection metadata.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-200 Information Exposure (Раскрытие информации)

Ссылки 1

https://github.com/WWBN/AVideo/security/advisories/GHSA-99j6-hj87-6fcf
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-5719

PHP

5,3

CVE-2026-5705

PHP

5,3

CVE-2026-35473

PHP

5,1

CVE-2026-35450

PHP

5,3

CVE-2026-35449

PHP

5,3