PT-2026-53996 · Invidious · Invidious
George Chen
·
Publicado
2026-06-30
·
Atualizado
2026-06-30
·
CVE-2026-58447
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Invidious versões anteriores a 2.20260626.0
Description
Existe um problema onde atacantes autenticados podem excluir vídeos de playlists pertencentes a outros usuários. Isso ocorre porque o sistema não valida a propriedade quando uma solicitação é feita ao endpoint de playlist usando a ação
remove video. Atacantes podem recuperar valores de índice global de vídeo por meio da API JSON pública de playlist e fornecer um índice arbitrário ao endpoint de exclusão para remover permanentemente conteúdo de playlists que não lhes pertencem. Trata-se de uma falha de autorização quebrada no nível do objeto (broken object level authorization), que ocorre quando uma aplicação não verifica adequadamente se o usuário tem permissão para acessar ou modificar um objeto específico.Recommendations
Atualize para a versão que contém o commit 77ad416.
Restrinja o acesso à ação
remove video no endpoint de playlist para minimizar o risco de exclusões não autorizadas.Exploit
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Invidious