CVE-2026-45620

Nome do Software Vulnerável e Versões Afetadas AVideo versões 29.0 e anteriores

Descrição Existe um problema na plataforma de vídeo de código aberto onde o endpoint "objects/mention.json.php" não possui User::loginCheck() ou um controle de acesso de administrador. O endpoint implementa apenas uma guarda de entrada usando preg match('/^@/', $ REQUEST['term']) e um rowCount=10 fixo. Isso permite que usuários não autenticados realizem a enumeração de usuários manipulando a variável term.

Recomendações Atualize o AVideo para uma versão posterior à 29.0. Como medida paliativa temporária, restrinja o acesso ao endpoint "objects/mention.json.php" para minimizar o risco de enumeração de usuários.