CVE-2026-56345

Nome do Software Vulnerável e Versões Afetadas AVideo versões anteriores a 29.0

Description Existe uma falha de bypass de autorização no endpoint 'uploadRecordedVideo.json.php' do plugin Meet. O sistema deriva o users id do alvo a partir do nome do arquivo enviado sem a devida verificação. Um invasor que possua o segredo compartilhado (shared secret) do Meet pode enviar um arquivo manipulado com um nome contendo um users id arbitrário para acionar a função login() da classe User, estabelecendo uma sessão autenticada como qualquer usuário, incluindo o administrador. O segredo compartilhado do Meet pode ser obtido por meio de vulnerabilidades de path-traversal ou ataques de temporização (timing attacks) contra o endpoint 'checkToken.json.php'. Ao enviar uma requisição POST para 'uploadRecordedVideo.json.php' com um nome de arquivo como '1-anything.mp4', um invasor pode sequestrar sessões administrativas e obter o controle total da conta.

Recommendations Atualize para uma versão posterior a 29.0. Como mitigação temporária, restrinja o acesso aos endpoints 'uploadRecordedVideo.json.php' e 'checkToken.json.php'.