CVE-2026-45619
MediumCVSS 6.5Summary
WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, pliki EpgParser.php, plugin/AI/receiveAsync.json.php oraz inne miejsca nie wykorzystują parametru wyjściowego $resolvedIP funkcji isSSRFSafeURL() do pinowania DNS za pomocą CURLOPT_RESOLVE, co otwiera możliwość ataku DNS-rebinding TOCTOU.
Risk Assessment
Atakujący może wykorzystać tę podatność do przeprowadzenia ataku DNS-rebinding, co może prowadzić do nieautoryzowanego dostępu do danych użytkowników lub systemów wewnętrznych organizacji.
Recommendation
Zaleca się aktualizację do najnowszej wersji AVideo, która naprawia tę podatność oraz przeglądanie i weryfikację użycia funkcji isSSRFSafeURL() w kodzie aplikacji.
Original NVD description (English source)
WWBN AVideo is an open source video platform. In 29.0 and earlier, EpgParser.php, plugin/AI/receiveAsync.json.php, and other locations do not use the $resolvedIP out-param of isSSRFSafeURL() for DNS pinning via CURLOPT_RESOLVE, opening DNS-rebinding TOCTOU.

