WWBN AVideo - это видеоплатформа с открытым исходным кодом. До версии 26.0 в «plugin/Live/standAloneFiles/saveDVR.json.php`». Существует уя…
WWBN AVideo - это видеоплатформа с открытым исходным кодом. До версии 26.0 в «plugin/Live/standAloneFiles/saveDVR.json.php`». Существует уязвимость Server-Side Forgery (SSRF). Когда плагин AVideo Live развернут в автономном режиме (предназначенная конфигурация для этого файла), параметр `$_REQUEST['webSiteRootURL']` используется непосредственно для создания URL-адреса, который получает сервер на стороне сервера через `file_get_contents()`. Никакая аутентификация, проверка происхождения или разрешенный список URL не выполняются. Версия 26.0 содержит патч для выпуска.
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →