CVE-2026-56341
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
AVideo w wersji do 26.0 zawiera wiele punktów końcowych list.json.php w wtyczkach płatności, które nie mają kontroli autoryzacji, co prowadzi do ujawnienia tokenów PayPal, webhooków Authorize.Net oraz rekordów transakcji Bitcoin.
Ocena ryzyka
Nieautoryzowani atakujący mogą uzyskać dostęp do wszystkich danych transakcji płatności, w tym identyfikatorów umów, danych finansowych użytkowników oraz odpowiedzi API, co stwarza poważne zagrożenie dla bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację AVideo do najnowszej wersji oraz wdrożenie odpowiednich kontroli autoryzacji dla punktów końcowych wtyczek płatności.
Oryginalny opis (angielski, źródło NVD)
AVideo through version 26.0 contains multiple unauthenticated list.json.php endpoints in payment plugins lacking authorization checks, exposing PayPal tokens, Authorize.Net webhooks, and Bitcoin transaction records. Unauthenticated attackers can retrieve all payment transaction data including agreement IDs, user financial records, and API responses via direct GET requests to vulnerable endpoints.

