CVE-2026-41056

Name of the Vulnerable Software and Affected Versions WWBN AVideo versões 29.0 e anteriores

Description A função allowOrigin($allowAll=true) em objects/functions.php reflete qualquer cabeçalho Origin arbitrário de volta no Access-Control-Allow-Origin juntamente com Access-Control-Allow-Credentials: true. Esta função é utilizada pelos endpoints de API 'plugin/API/get.json.php' e 'plugin/API/set.json.php', que gerenciam a recuperação de dados do usuário, autenticação, credenciais de transmissão ao vivo e operações de alteração de estado. Devido ao fato de a aplicação utilizar uma política de cookie de sessão SameSite=None, sites externos podem realizar requisições cross-origin autenticadas para ler respostas da API. Isso pode levar ao roubo de informações de identificação pessoal (PII), chaves de transmissão ao vivo e alterações de estado não autorizadas em nome da vítima.

Recommendations Atualize para uma versão que contenha o commit caf705f38eae0ccfac4c3af1587781355d24495e. Como medida paliativa temporária, restrinja o acesso aos endpoints 'plugin/API/get.json.php' e 'plugin/API/set.json.php' ou desative a função allowOrigin() até que a atualização seja aplicada.