CVE-2026-35449

Name of the Vulnerable Software and Affected Versions AVideo versões 26.0 e anteriores

Description O script de diagnóstico install/test.php tem sua proteção de acesso apenas pela linha de comando desabilitada, permitindo acesso via HTTP após a instalação. Isso expõe estatísticas de visualização de vídeo, incluindo endereços IP, IDs de sessão e agentes de usuário, a visitantes não autenticados. O script consulta VideoStatistic::getLastStatistics() e exibe o resultado usando var dump(). O objeto VideoStatistic contém endereços IP do visualizador (ip), IDs de sessão (session id), agentes de usuário (user agent), IDs de usuário (users id) e metadados JSON. O relatório de erros detalhado está habilitado, revelando potencialmente caminhos internos do sistema de arquivos. O endpoint da API ''/install/test.php'' é vulnerável, aceitando a variável videos id.

Recommendations Descomente a proteção de acesso pela linha de comando em install/test.php:6 para restaurar a restrição de acesso pretendida.