CVE-2026-56342
ŚrednieCVSS 6.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
AVideo w wersji do 27.0 zawiera podatność typu server-side request forgery w pliku plugin/Live/test.php, która pozwala uwierzytelnionym administratorom na odczyt dowolnych adresów URL za pomocą parametru statsURL. Brak walidacji isSSRFSafeURL() umożliwia wysyłanie żądań do prywatnych zakresów IP oraz punktów końcowych metadanych w chmurze.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do uzyskania dostępu do wrażliwych informacji, takich jak dane uwierzytelniające IAM, odpowiedzi wewnętrznych usług oraz szczegóły konfiguracji sieci. Może to prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Rekomendacja
Zaleca się aktualizację AVideo do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy zabezpieczeń, aby ograniczyć dostęp do wrażliwych zasobów.
Oryginalny opis (angielski, źródło NVD)
AVideo through version 27.0 contains a server-side request forgery vulnerability in plugin/Live/test.php that allows authenticated administrators to read arbitrary URLs via the statsURL parameter, which lacks isSSRFSafeURL() validation and accepts requests to private IP ranges and cloud metadata endpoints. Attackers can exploit this by crafting requests to internal services, cloud metadata endpoints like 169.254.169.254, and localhost to retrieve sensitive information including IAM credentials, internal service responses, and network configuration details.

