CVE-2026-43885

Nome do Software Vulnerável e Versões Afetadas WWBN AVideo versões anteriores a 29.1

Descrição Um usuário não autenticado pode acessar o endpoint público "objects/plugins.json.php" para ler o APISecret do object data do plugin. Esse segredo pode então ser usado para autenticar solicitações ao endpoint de API protegido "plugin/API/get.json.php", fornecendo-o através do parâmetro APISecret, permitindo o acesso não autorizado a dados protegidos, como a users list através do parâmetro APIName.

Recomendações Atualize para a versão que contém o commit 1c36f229d0a103528fb9f64d0a1cc0e1e8f5999b. Exija autenticação de administrador para o endpoint de inventário e configuração completa de plugins.