CVE-2026-56341

Nome do Software Vulnerável e Versões Afetadas AVideo versões anteriores a 26.1

Description Múltiplos plugins de pagamento contêm endpoints 'list.json.php' não autenticados que carecem de verificações de autorização adequadas. Isso permite que atacantes não autenticados realizem requisições GET diretas a esses endpoints para recuperar dados sensíveis de transações de pagamento, incluindo tokens do PayPal, webhooks do Authorize.Net, registros de transações de Bitcoin, IDs de contrato, registros financeiros de usuários e respostas de API.

Recommendations Atualize para uma versão posterior a 26.0. Como mitigação temporária, restrinja o acesso aos endpoints 'list.json.php' nos plugins de pagamento.