CVE-2026-43881

Nome do Software Vulnerável e Versões Afetadas WWBN AVideo versões anteriores a 29.1

Descrição Um problema no endpoint 'objects/users.json.php' permite que atacantes remotos não autenticados divulguem o conjunto completo de contas de usuários registradas. Isso ocorre por meio de dois caminhos distintos:

Primeiro, o parâmetro de requisição isCompany aciona uma falha de lógica que define a variável $ignoreAdmin como verdadeira para chamadores que não são administradores. Isso ignora as proteções administrativas dentro das funções getAllUsers() e getTotalUsers(), permitindo a recuperação de toda a tabela de usuários. Especificamente, definir isCompany como 0 permite a extração de todos os usuários que não são empresas.

Segundo, o endpoint aceita um parâmetro users id e chama a função getUserFromID() sem realizar qualquer verificação de permissão. Isso cria um oráculo de usuário único, onde um atacante pode verificar a existência de IDs de usuário específicos.

Ambos os caminhos vazam informações sensíveis, incluindo IDs de usuário, nomes de exibição (identification), URLs de canais, fotos de perfil, fundos, status da conta e o número total de contas registradas.

Recomendações Para versões anteriores a 29.1, aplique as seguintes medidas: