CVE-2026-56342

Nome do Software Vulnerável e Versões Afetadas AVideo versões anteriores a 27.1

Descrição Administradores autenticados podem realizar server-side request forgery (SSRF) — uma falha onde um servidor é enganado para fazer requisições a um local não pretendido — através do endpoint 'plugin/Live/test.php'. O problema ocorre porque o parâmetro statsURL carece da validação isSSRFSafeURL(), permitindo que requisições sejam enviadas para localhost, intervalos de IP privados e endpoints de metadados de nuvem, como 169.254.169.254. Isso pode ser explorado para recuperar dados sensíveis, incluindo respostas de serviços internos, detalhes de configuração de rede e credenciais de IAM.

Recomendações Atualize para uma versão posterior a 27.0. Como medida paliativa temporária, restrinja o acesso ao endpoint 'plugin/Live/test.php' ou evite usar o parâmetro statsURL até que a atualização seja aplicada.