CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-46337

MediumCVSS 5.3
Published: Updated: Translated: NVD NIST

Summary

WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, nieautoryzowany zdalny atakujący może odczytać dowolne pliki graficzne na dysku, które użytkownik PHP może otworzyć, w tym prywatne zdjęcia profili użytkowników oraz miniatury przesyłane przez administratorów.

Risk Assessment

Ryzyko dla organizacji polega na możliwości ujawnienia wrażliwych danych, takich jak prywatne zdjęcia użytkowników, co może prowadzić do naruszenia prywatności i reputacji organizacji.

Recommendation

Zaleca się aktualizację do najnowszej wersji AVideo oraz wdrożenie odpowiednich mechanizmów autoryzacji, aby zabezpieczyć dostęp do plików graficznych.

Original NVD description (English source)

WWBN AVideo is an open source video platform. In 29.0 and earlier, an unauthenticated remote attacker can read arbitrary image files anywhere on disk that the PHP user can open — including private user-profile photos that the application's normal serving wrappers gate behind ACLs, admin-uploaded thumbnails, encrypted-video poster frames, and image content under sibling-app directories reachable via .. traversal. The endpoint requires no authentication.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS