CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-47696

MediumCVSS 4.3
Published: Updated: Translated: NVD NIST

Summary

AVideo to otwartoźródłowa platforma wideo, w wersji 29.0 i wcześniejszych, zawiera lukę w pliku processPayment.json.php, która umożliwia atakującym dodawanie dowolnych środków do portfela zalogowanego użytkownika. Problem wynika z braku walidacji transakcji Authorize.Net oraz hardcodowania sukcesu płatności.

Risk Assessment

Luka ta pozwala na nieautoryzowane zasilanie portfela użytkowników, co może prowadzić do strat finansowych dla organizacji oraz naruszenia integralności systemu płatności. Użytkownicy mogą wykorzystać tę podatność do nielegalnego wzbogacenia się.

Recommendation

Zaleca się aktualizację AVideo do najnowszej wersji oraz wprowadzenie walidacji transakcji w procesie płatności, aby zapobiec nieautoryzowanemu dodawaniu środków do portfela użytkowników.

Original NVD description (English source)

WWBN AVideo is an open source video platform. In 29.0 and earlier, plugin/AuthorizeNet/processPayment.json.php credits the logged-in user's wallet based only on the attacker-controlled amount POST parameter. The endpoint contains a TODO for real Authorize.Net charging, hardcodes $paymentSuccess = true, and then calls YPTWallet::addBalance() without validating any Authorize.Net transaction, webhook signature, hosted payment token, nonce, or server-side payment record. This allows any logged-in user to add arbitrary funds to their own AVideo wallet when the AuthorizeNet and YPTWallet plugins are enabled.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS