Katalog CVE

CVE-2026-56341

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

AVideo w wersji do 26.0 zawiera wiele punktów końcowych list.json.php w wtyczkach płatności, które nie mają kontroli autoryzacji, co prowadzi do ujawnienia tokenów PayPal, webhooków Authorize.Net oraz rekordów transakcji Bitcoin.

Ocena ryzyka

Nieautoryzowani atakujący mogą uzyskać dostęp do wszystkich danych transakcji płatności, w tym identyfikatorów umów, danych finansowych użytkowników oraz odpowiedzi API, co stwarza poważne zagrożenie dla bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację AVideo do najnowszej wersji oraz wdrożenie odpowiednich kontroli autoryzacji dla punktów końcowych wtyczek płatności.

Oryginalny opis (angielski, źródło NVD)

AVideo through version 26.0 contains multiple unauthenticated list.json.php endpoints in payment plugins lacking authorization checks, exposing PayPal tokens, Authorize.Net webhooks, and Bitcoin transaction records. Unauthenticated attackers can retrieve all payment transaction data including agreement IDs, user financial records, and API responses via direct GET requests to vulnerable endpoints.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS