CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33502

Critical
Published: Translated: NVD NIST

Summary

AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 włącznie występuje podatność typu server-side request forgery w pliku `plugin/Live/test.php`, która pozwala nieautoryzowanym użytkownikom zdalnym na wysyłanie żądań HTTP do dowolnych adresów URL.

Risk Assessment

Podatność ta umożliwia atakującym badanie usług lokalnych oraz dostęp do wewnętrznych zasobów HTTP lub punktów końcowych metadanych w chmurze, co może prowadzić do ujawnienia wrażliwych informacji.

Recommendation

Zaleca się aktualizację do wersji AVideo powyżej 26.0, w której wprowadzono poprawkę dla tej podatności.

Original NVD description (English source)

WWBN AVideo is an open source video platform. In versions up to and including 26.0, an unauthenticated server-side request forgery vulnerability in `plugin/Live/test.php` allows any remote user to make the AVideo server send HTTP requests to arbitrary URLs. This can be used to probe localhost/internal services and, when reachable, access internal HTTP resources or cloud metadata endpoints. Commit 1e6cf03e93b5a5318204b010ea28440b0d9a5ab3 contains a patch.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS