CVE-2026-43884

Nome do Software Vulnerável e Versões Afetadas AVideo versões anteriores a 29.0

Descrição Dois endpoints, 'plugin/AI/receiveAsync.json.php' e 'objects/EpgParser.php', utilizam a função isSSRFSafeURL() para validar URLs fornecidas pelo usuário, mas as buscam utilizando file get contents() sem desativar o seguimento automático de redirecionamentos. Isso permite que um invasor forneça uma URL que redirecione para um endereço interno ou de metadados de nuvem (como 'http://169.254.169.254/latest/meta-data/'), ignorando as proteções de SSRF, pois apenas a URL inicial é validada. Isso pode levar à exfiltração de credenciais IAM, identidade da instância ou acesso a serviços internos e varredura de portas.

Além disso, vários chamadores de isSSRFSafeURL() descartam o parâmetro $resolvedIP destinado ao DNS pinning, tornando-os suscetíveis a ataques de DNS rebinding TOCTOU (Time-of-Check to Time-of-Use). Isso ocorre quando o registro DNS de um domínio muda entre o momento da validação e o momento da requisição real. Os chamadores afetados incluem:

Recomendações Atualize o AVideo para uma versão posterior a 29.0. Como medida paliativa temporária, restrinja o acesso aos endpoints 'plugin/AI/receiveAsync.json.php' e 'objects/EpgParser.php' para minimizar o risco de SSRF baseado em redirecionamento.