CVE-2026-45620
MediumCVSS 5.3Summary
WWBN AVideo to otwarta platforma wideo. W wersjach 29.0 i wcześniejszych plik objects/mention.json.php nie zawiera mechanizmu sprawdzania logowania użytkownika ani zabezpieczeń administracyjnych, co umożliwia nieautoryzowaną enumerację użytkowników.
Risk Assessment
Brak odpowiednich zabezpieczeń może prowadzić do ujawnienia informacji o użytkownikach, co zwiększa ryzyko ataków typu brute force oraz innych form nadużyć.
Recommendation
Zaleca się aktualizację do najnowszej wersji AVideo oraz wdrożenie mechanizmów autoryzacji w pliku mention.json.php, aby zabezpieczyć dostęp do danych użytkowników.
Original NVD description (English source)
WWBN AVideo is an open source video platform. In 29.0 and earlier, objects/mention.json.php has no User::loginCheck() or admin gate. It only has an entry guard: preg_match('/^@/', $_REQUEST['term']) and hard-coded rowCount=10. This enables unauthenticated user enumeration.

