nvd,anchore_overrides
Wwbn
Уязвимости
207
Эксплуатируемые
0
Критический
25
Высокий
77
Топ продуктов
Топ уязвимостей
CVE-2026-40911WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях 29.0 и ранее сервер плагина YPTSocket WebSocket ретранслирует поставляемые злоубойком корпуса сообщений JSON каждому подключенному клиенту без санации полей `msg` или ``callback. Со стороны клиента «plugin/YPTSocket/script.js` содержит две «поглотки vall()`, питаемые непосредственно этими ретрансляционными полями (`json.msg.autoEvalCodeOnHTML` на линии 568 и `json.callback` на линии 95). Поскольку токены чеканятся для анонимных посетителей и никогда не перепроверяются за пределами расшифровки, неаутентифицированный злоумышленник может транслировать произвольный JavaScript, который выполняется в происхождении каждого подключенного в настоящее время пользователя (включая администраторов), что приводит к универсальному захвату учетной записи, краже сеанса и привилегированному исполнению действия. Компицу c08694bf62b4decceb78c711baee2609b4efd содержит исправление.
CVE-2026-33478WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно множество уязвимостей в цепочке плагинов CloneSite от AVideo, чтобы позволить полностью неаутентифицированному злоумышленнику добиться удаленного выполнения кода. «Конечное точкой клонирования клонирует секретные ключи клонов без аутентификации, которые могут быть использованы для запуска полной дачи базы данных через «cloneServer.json.php`». Свалка содержит хэши admin паролей, хранящиеся в виде MD5, которые тривиально трескаются. С доступом администратора злоумышленник использует инъекцию команды ОС в конструкции команды rsinc в `cloneClient.json.php` для выполнения произвольных системных команд. Компиляция c85d076375fab095a14170df7ddb27058134d38c содержит патч.
CVE-2022-30547Существует уязвимость обхода каталога в функциональности unzipDirectory WWBN AVideo 11.6 и dev master commit 3f7c0364. Специально созданный HTTP-запрос может привести к произвольному выполнению команд. Злоумышленник может отправить HTTP-запрос для эксплуатации этой уязвимости.
CVE-2026-33352WWBN AVideo - это видеоплатформа с открытым исходным кодом. До версии 26.0 в методе `getAllCategories()`geteds/category.php` существует неаутентифицированная уязвимость SQL-indind. Параметр запроса «doNotShowCats`» продезинфицируется только путем снятия одноцитатных символов (`str_replace("", ', ...)'), но это тривиально обходит технику побега обратной косой черты для изменения границ SQL. Параметр не охватывает ни один из глобальных входных фильтров приложения в `objects/security.php`. Версия 26.0 содержит патч для выпуска.
CVE-2026-29093WWBN AVideo - это видеоплатформа с открытым исходным кодом. До версии 24.0 официальный docker-compose.yml публикует услугу memcached на хост-порте 11211 (0.0.0.0:11211) без аутентификации, в то время как Dockerfile настраивает PHP для хранения всех пользовательских сессий в этом меккешированном экземпляре. Злоумышленник, который может достичь порта 1121, может читать, изменять или смыть данные сеанса, что позволяет захватить сеанс, олицетворение администратора и уничтожение сеанса без какой-либо аутентификации на уровне приложения. Эта проблема была исправлена в версии 24.0.
CVE-2026-29058AVideo - это программное обеспечение для обмена видео. До версии 7.0 неаутентированный злоумышленник может выполнять произвольные команды ОС на сервере, вводя замену команды оболочки в параметр base64Url GET. Это может привести к полному компенсационному управлению серверу, эксфильтрации данных (например, секретам конфигурации, внутренним ключам, учетным данным) и нарушению работы сервиса. Этот вопрос был исправлен в версии 7.0.
CVE-2026-28501WWBN AVideo - это видеоплатформа с открытым исходным кодом. До версии 24.0 в AVideo в компонентах objects/videos.json.php и objects/video.php существует уязвимость SQL Injection.php. Приложение не может должным образом дезинфицировать параметр catName при его поставке через JSON-форматный корпус POST-запрос. Поскольку ввод JSON анализируется и сливается с $_REQUEST после выполнения глобальных проверок безопасности, полезная нагрузка обходит существующие механизмы дезинфекции. Эта проблема была исправлена в версии 24.0.
CVE-2025-48732В WWBN AVideo 14.4 и версии dev master commit 8a8954ff существует неполный черный список в образце файла .htaccess. Специально созданный HTTP-запрос может привести к выполнению произвольного кода. Злоумышленник может отправить запрос на файл .phar, чтобы вызвать эту уязвимость [1].
Источники:
- [1] https://talosintelligence.com/vulnerability_reports/TALOS-2025-2213
CVE-2024-31819Проблема в WWBN AVideo v.12.4 - v.14.2 позволяет удаленному злоумышленнику выполнять произвольный код через параметр systemRootPath компонента submitIndex.php.
CVE-2023-49599В функциональности генерации соли в WWBN AVideo dev master commit 15fed957fb существует уязвимость, связанная с недостаточной энтропией. Специально созданная серия HTTP-запросов может привести к повышению привилегий. Злоумышленник может собрать системную информацию с помощью HTTP-запросов и методом грубой силы подобрать соль в автономном режиме, что приведет к подделке легитимного кода восстановления пароля для пользователя admin.
CVE-2023-47862В WWBN AVideo dev master commit 15fed957fb существует уязвимость включения локального файла в функциональности getLanguageFromBrowser. Специально созданный HTTP-запрос может привести к произвольному выполнению кода. Злоумышленник может отправить серию HTTP-запросов для запуска этой уязвимости.
CVE-2023-25313Уязвимость внедрения OS в World Wide Broadcast Network AVideo версии до 12.4 позволяет злоумышленникам выполнять произвольный код через поле видеоссылки для функции Embed a video link.
CVE-2025-41420В функциональности userLogin плагина AVideo версии 14.4 и dev master commit 8a8954ff обнаружена уязвимость межсайтового скриптинга (XSS) в параметре cancelUri, позволяющая выполнить произвольный JavaScript при посещении страницы злоумышленника [1].
Источники:
- [1] https://talosintelligence.com/vulnerability_reports/TALOS-2025-2209
CVE-2025-36548В функциональности loginForm плагина AVideo версии 14.4 и dev master commit 8a8954ff обнаружена уязвимость межсайтового скриптинга (XSS) в параметре cancelUri, позволяющая выполнить произвольный JavaScript при посещении страницы злоумышленника [1].
Источники:
- [1] https://talosintelligence.com/vulnerability_reports/TALOS-2025-2208
CVE-2022-26842В функциональности выбора вкладок диаграмм WWBN AVideo 11.6 и dev master commit 3f7c0364 существует уязвимость отраженного межсайтового скриптинга (xss). Специально созданный HTTP-запрос может привести к произвольному выполнению Javascript. Злоумышленник может заставить аутентифицированного пользователя отправить специально созданный HTTP-запрос, чтобы вызвать эту уязвимость.
CVE-2026-33716WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно автономная конечная точка управления live потоком в «plugin/Live/standAloneFiles/control.json.php`» принимает параметр «plugin/Live/standAloneL» (plugin/standAloneFiles/control.json.php`) принимает поставленный пользователем параметр «plugerURL», который переопределяет, когда сервер отправляет запросы на проверку токенов. Злоумышленник может перенаправить проверку токена на сервер, который он контролирует, который всегда возвращает `{"error": false}`, полностью минуя аутентификацию. Это дает неаутентифицированный контроль над любой прямой трансляцией на платформе, включая отказ от активных издателей, запуск / остановку записей и зондирование существования потока. Выполнить 388fcd57dd16f6cbcdf1d08cf2b9299941128 содержит патч.
CVE-2026-41064WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях до 29.0, неполное исправление для AVideo's `test.php` добавляет `escapeshellarg` для wget, но оставляет `file_get_contents`` и `ccurl` кодовые пути несанциментированными, а проверка URL-адреса regex `/http/` принимает такие строки, как `httpevil[.]com`. Выделите 78bccae746434ead68aa6528d631c4fd7aa536 содержит обновленное исправление.
CVE-2026-33024AVideo - это платформа для обмена видео. Версии до 8.0 содержат уязвимость подделки запроса на серверную сторону (CWE-918) в общедоступных конечных точках tmbnail getImage.php и getImageMP4.php. Обе конечные точки принимают параметр base64Url GET, base64-декодируют его и передают полученный URL-адрес на ffmpeg в качестве источника ввода без каких-либо требований аутентификации. Предварительная проверка только проверила, что URL был синтаксически действителен (FILTER_VALIDATE_URL) и начался с http(s)://. Этого недостаточно: злоумышленник может предоставить URL-адреса, такие как http://169.254.169.254/latest/meta-data/ (AWS/cloud, http://192.168.x.x/) или http://127.0.0.1/, чтобы сервер достиг внутренних сетевых ресурсов. Ответ не возвращается напрямую (вслепую), но временные различия и журналы ошибок могут быть использованы для определения результатов. Проблема была исправлена в версии 8.0.
CVE-2026-28502WWBN AVideo - это видеоплатформа с открытым исходным кодом. До версии 24.0 в AVideo была идентифицирована аутентифицированная уязвимость Remote Code Execution (RCE), связанная с функцией загрузки/импорта плагина. Проблема позволила аутентифицированному администратору загрузить специально созданный ZIP-архив, содержащий исполняемые файлы на стороне сервера. Из-за недостаточной проверки извлеченного содержимого файла архив был извлечен непосредственно в веб-каталог плагинов, что позволяет произвольное выполнение кода PHP. Эта проблема была исправлена в версии 24.0.
CVE-2025-34434Версии AVideo до 20.1 с включенным плагином ImageGallery уязвимы для загрузки и удаления файлов без аутентификации. Позиции плагинов, ответственные за управление изображениями галереи, не обеспечивают проверку подлинности и не подтверждают право собственности, позволяя неаутентифицированным злоумышленникам загружать или удалять изображения, связанные с любым видео на основе изображений.
CVE-2025-34433AVideo версии 14.3.1 до 20.1 содержат неаутентифицированную уязвимость удаленного выполнения кода, вызванную предсказуемым генерацией установочной соли с использованием PHP uniqid(). Отметка времени установки выставляется через общедоступную конечную точку, а полученный хеш-идентификатор доступен через неаутентифицированные ответы API, что позволяет злоумышленникам грубо форсировать оставшуюся энтропию. Восстановленную соль затем можно использовать для шифрования вредоносной полезной нагрузки, поставляемой на конечную точку API уведомления, которая оценивает управляемый злоумышленником вход, что приводит к произвольному исполнению кода в качестве пользователя веб-сервера.
CVE-2026-34374WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно метод `Live_schedule::keyExists()` конструирует SQL-запрос, интерполируя клавишу потока непосредственно в строку запроса без параметризации. Этот метод называется резервом от `LiveTransmition::keyExists()` когда первоначальный параметризованный поиск не дает результатов. Хотя функция вызова правильно использует параметризованные запросы для собственного поиска, запасной путь к `Live_schedule::keyExists()` полностью отменяет эту защиту. Эта уязвимость отличается от GHSA-pvw4-p2jm-chjm, которая охватывает SQL-инъекцию через параметр `live_schedule_id` в функции напоминания. Этот вывод нацелен на путь поиска клавиш потока, используемый во время публикации RTMP. На момент публикации не имеется исправленных версий.
CVE-2026-33867WWBN AVideo - это видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно AVideo позволяет владельцам контента защищать паролем отдельные видео. Видеопароль хранится в базе данных в открытом тексте — никакого хеширования, соленого или шифрования не применяется. Если злоумышленник получает доступ к базе данных (через SQL-инъекцию, резервную копию базы данных или неправильно настроенные элементы управления доступом), он получает все видеопароли в открытом тексте. Компиляция f2d68d2adbf7358ea61be2b781d9320a819e36 содержит патч.
CVE-2026-33351WWBN AVideo - это видеоплатформа с открытым исходным кодом. До версии 26.0 в «plugin/Live/standAloneFiles/saveDVR.json.php`». Существует уязвимость Server-Side Forgery (SSRF). Когда плагин AVideo Live развернут в автономном режиме (предназначенная конфигурация для этого файла), параметр `$_REQUEST['webSiteRootURL']` используется непосредственно для создания URL-адреса, который получает сервер на стороне сервера через `file_get_contents()`. Никакая аутентификация, проверка происхождения или разрешенный список URL не выполняются. Версия 26.0 содержит патч для выпуска.
CVE-2022-28712В функциональности videoAddNew в WWBN AVideo 11.6 и dev master commit 3f7c0364 существует уязвимость межсайтового скриптинга (xss). Специально созданный HTTP-запрос может привести к произвольному выполнению Javascript. Злоумышленник может заставить аутентифицированного пользователя отправить созданный HTTP-запрос, чтобы вызвать эту уязвимость.