CVE-2026-45620
ŚrednieCVSS 5.3Streszczenie
WWBN AVideo to otwarta platforma wideo. W wersjach 29.0 i wcześniejszych plik objects/mention.json.php nie zawiera mechanizmu sprawdzania logowania użytkownika ani zabezpieczeń administracyjnych, co umożliwia nieautoryzowaną enumerację użytkowników.
Ocena ryzyka
Brak odpowiednich zabezpieczeń może prowadzić do ujawnienia informacji o użytkownikach, co zwiększa ryzyko ataków typu brute force oraz innych form nadużyć.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji AVideo oraz wdrożenie mechanizmów autoryzacji w pliku mention.json.php, aby zabezpieczyć dostęp do danych użytkowników.
Oryginalny opis (angielski, źródło NVD)
WWBN AVideo is an open source video platform. In 29.0 and earlier, objects/mention.json.php has no User::loginCheck() or admin gate. It only has an entry guard: preg_match('/^@/', $_REQUEST['term']) and hard-coded rowCount=10. This enables unauthenticated user enumeration.

