CVE-2026-33502
KrytyczneStreszczenie
AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 włącznie występuje podatność typu server-side request forgery w pliku `plugin/Live/test.php`, która pozwala nieautoryzowanym użytkownikom zdalnym na wysyłanie żądań HTTP do dowolnych adresów URL.
Ocena ryzyka
Podatność ta umożliwia atakującym badanie usług lokalnych oraz dostęp do wewnętrznych zasobów HTTP lub punktów końcowych metadanych w chmurze, co może prowadzić do ujawnienia wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację do wersji AVideo powyżej 26.0, w której wprowadzono poprawkę dla tej podatności.
Oryginalny opis (angielski, źródło NVD)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, an unauthenticated server-side request forgery vulnerability in `plugin/Live/test.php` allows any remote user to make the AVideo server send HTTP requests to arbitrary URLs. This can be used to probe localhost/internal services and, when reachable, access internal HTTP resources or cloud metadata endpoints. Commit 1e6cf03e93b5a5318204b010ea28440b0d9a5ab3 contains a patch.

