CVE-2026-47696
MediumCVSS 4.3Summary
AVideo to otwartoźródłowa platforma wideo, w wersji 29.0 i wcześniejszych, zawiera lukę w pliku processPayment.json.php, która umożliwia atakującym dodawanie dowolnych środków do portfela zalogowanego użytkownika. Problem wynika z braku walidacji transakcji Authorize.Net oraz hardcodowania sukcesu płatności.
Risk Assessment
Luka ta pozwala na nieautoryzowane zasilanie portfela użytkowników, co może prowadzić do strat finansowych dla organizacji oraz naruszenia integralności systemu płatności. Użytkownicy mogą wykorzystać tę podatność do nielegalnego wzbogacenia się.
Recommendation
Zaleca się aktualizację AVideo do najnowszej wersji oraz wprowadzenie walidacji transakcji w procesie płatności, aby zapobiec nieautoryzowanemu dodawaniu środków do portfela użytkowników.
Original NVD description (English source)
WWBN AVideo is an open source video platform. In 29.0 and earlier, plugin/AuthorizeNet/processPayment.json.php credits the logged-in user's wallet based only on the attacker-controlled amount POST parameter. The endpoint contains a TODO for real Authorize.Net charging, hardcodes $paymentSuccess = true, and then calls YPTWallet::addBalance() without validating any Authorize.Net transaction, webhook signature, hosted payment token, nonce, or server-side payment record. This allows any logged-in user to add arbitrary funds to their own AVideo wallet when the AuthorizeNet and YPTWallet plugins are enabled.

