CVE-2026-39370

Name of the Vulnerable Software and Affected Versions AVideo versões 26.0 e anteriores

Description AVideo, uma plataforma de vídeo de código aberto, possui uma falha de Server-Side Request Forgery (SSRF) no arquivo objects/aVideoEncoder.json.php. Atacantes podem controlar o parâmetro downloadURL, utilizando extensões de mídia ou arquivo comuns como .mp4, .mp3, .zip, .jpg, .png, .gif e .webm, para contornar a validação SSRF. O servidor então recupera a resposta e a salva como conteúdo de mídia. Isso permite que um usuário autenticado utilize o fluxo de upload por URL para exfiltrar dados de forma confiável via SSRF. Isso se deve a uma correção incompleta de um problema previamente identificado.

Recommendations Atualize o AVideo para uma versão posterior à 26.0.