CVE-2026-27732

Nome do Software Vulnerável e Versões Afetadas Versões do AVideo anteriores à 22.0

Descrição O AVideo é uma plataforma de vídeo de código aberto. O endpoint da API aVideoEncoder.json.php aceita um parâmetro downloadURL e busca o recurso referenciado no lado do servidor sem validação adequada ou uma lista de permissões (allow-list). Isso permite que usuários autenticados acionem solicitações no lado do servidor para URLs arbitrárias, incluindo endpoints de rede interna, levando à Falsificação de Solicitação no Lado do Servidor (SSRF). Um atacante autenticado pode aproveitar o SSRF para interagir com serviços internos e recuperar dados sensíveis, potencialmente levando a um comprometimento adicional. O parâmetro vulnerável é downloadURL.

Recomendações Atualize o AVideo para a versão 22.0 ou posterior.