CVE-2026-46337
MediumCVSS 5.3Summary
WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, nieautoryzowany zdalny atakujący może odczytać dowolne pliki graficzne na dysku, które użytkownik PHP może otworzyć, w tym prywatne zdjęcia profili użytkowników oraz miniatury przesyłane przez administratorów.
Risk Assessment
Ryzyko dla organizacji polega na możliwości ujawnienia wrażliwych danych, takich jak prywatne zdjęcia użytkowników, co może prowadzić do naruszenia prywatności i reputacji organizacji.
Recommendation
Zaleca się aktualizację do najnowszej wersji AVideo oraz wdrożenie odpowiednich mechanizmów autoryzacji, aby zabezpieczyć dostęp do plików graficznych.
Original NVD description (English source)
WWBN AVideo is an open source video platform. In 29.0 and earlier, an unauthenticated remote attacker can read arbitrary image files anywhere on disk that the PHP user can open — including private user-profile photos that the application's normal serving wrappers gate behind ACLs, admin-uploaded thumbnails, encrypted-video poster frames, and image content under sibling-app directories reachable via .. traversal. The endpoint requires no authentication.

