CVE-2026-45619

Nome do Software Vulnerável e Versões Afetadas WWBN AVideo versões 29.0 e anteriores

Descrição Certos componentes, incluindo EpgParser.php e plugin/AI/receiveAsync.json.php, não utilizam o parâmetro de saída $resolvedIP da função isSSRFSafeURL() para fixação de DNS (DNS pinning) via CURLOPT RESOLVE. Essa falha cria uma condição de Time-of-Check to Time-of-Use (TOCTOU), o que permite ataques de DNS rebinding. O DNS rebinding é uma técnica usada para burlar restrições de segurança, alterando o endereço IP associado a um nome de domínio entre o momento em que a aplicação valida o endereço e o momento em que ela efetivamente acessa o recurso.

Recomendações Atualize para uma versão onde EpgParser.php e plugin/AI/receiveAsync.json.php sejam corrigidos para usar métodos seguros contra redirecionamento ou implementem corretamente a fixação de DNS utilizando o parâmetro $resolvedIP com CURLOPT RESOLVE.