CVE-2026-39366

Name of the Vulnerable Software and Affected Versions AVideo versões 26.0 e anteriores

Description A plataforma AVideo, uma plataforma de vídeo de código aberto, apresenta uma falha no manipulador PayPal IPN v1 localizado em 'plugin/PayPalYPT/ipn.php'. Este manipulador não deduplica corretamente as transações, o que pode permitir que um invasor repita uma notificação IPN legítima várias vezes. Essa repetição pode levar a um invasor inflando o saldo da sua carteira e renovando assinaturas repetidamente. Os manipuladores 'ipnV2.php' e 'webhook.php' mais recentes deduplicam corretamente as transações usando entradas PayPalYPT log, mas o manipulador v1 vulnerável permanece em uso como o notify url para planos de faturamento.

Recommendations Atualize o AVideo para uma versão posterior à 26.0.