PT-2026-51176 · Avideo · Avideo
Fg0X0
·
Publicado
2026-06-20
·
Atualizado
2026-06-20
·
CVE-2026-56346
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L |
Nome do Software Vulnerável e Versões Afetadas
AVideo versões anteriores a 25.1
Descrição
Existe um bypass de autenticação no endpoint 'decryptMessage.json.php', permitindo que usuários não autenticados descriptografem mensagens PGP (Pretty Good Privacy). Atacantes remotos podem fornecer chaves privadas, texto cifrado e senhas para executar a descriptografia no lado do servidor sem credenciais. Esse processo pode expor materiais de chaves nos logs e facilitar ataques de exaustão de recursos, nos quais os recursos do servidor são consumidos até a indisponibilidade.
Recomendações
Atualize para uma versão posterior a 25.0.
Como medida paliativa temporária, restrinja o acesso ao endpoint 'decryptMessage.json.php' para minimizar o risco de exploração.
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Avideo