CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45619

MediumCVSS 6.5
Published: Updated: Translated: NVD NIST

Summary

WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, pliki EpgParser.php, plugin/AI/receiveAsync.json.php oraz inne miejsca nie wykorzystują parametru wyjściowego $resolvedIP funkcji isSSRFSafeURL() do pinowania DNS za pomocą CURLOPT_RESOLVE, co otwiera możliwość ataku DNS-rebinding TOCTOU.

Risk Assessment

Atakujący może wykorzystać tę podatność do przeprowadzenia ataku DNS-rebinding, co może prowadzić do nieautoryzowanego dostępu do danych użytkowników lub systemów wewnętrznych organizacji.

Recommendation

Zaleca się aktualizację do najnowszej wersji AVideo, która naprawia tę podatność oraz przeglądanie i weryfikację użycia funkcji isSSRFSafeURL() w kodzie aplikacji.

Original NVD description (English source)

WWBN AVideo is an open source video platform. In 29.0 and earlier, EpgParser.php, plugin/AI/receiveAsync.json.php, and other locations do not use the $resolvedIP out-param of isSSRFSafeURL() for DNS pinning via CURLOPT_RESOLVE, opening DNS-rebinding TOCTOU.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS