CVE-2026-39368

Name of the Vulnerable Software and Affected Versions AVideo versões 26.0 e anteriores

Description AVideo é uma plataforma de vídeo de código aberto. As versões 26.0 e anteriores são suscetíveis a um problema de Server-Side Request Forgery (SSRF) dentro do fluxo de retorno de chamada do log de restream ao vivo. Este fluxo aceita um restreamerURL controlado por um invasor e, subsequentemente, busca esta URL no lado do servidor. Isso permite um SSRF armazenado, permitindo que streamers autenticados acionem solicitações para serviços HTTP de loopback ou internos por meio do recurso de log de restream. Um usuário de baixo privilégio com permissão de streaming pode armazenar uma URL de retorno de chamada arbitrária e iniciar solicitações do lado do servidor para recursos internos.

Recommendations Atualize o AVideo para uma versão posterior à 26.0.