PT-2026-53996 · Invidious · Invidious

George Chen

·

Publicado

2026-06-30

·

Atualizado

2026-06-30

·

CVE-2026-58447

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Invidious versões anteriores a 2.20260626.0
Description Existe um problema onde atacantes autenticados podem excluir vídeos de playlists pertencentes a outros usuários. Isso ocorre porque o sistema não valida a propriedade quando uma solicitação é feita ao endpoint de playlist usando a ação remove video. Atacantes podem recuperar valores de índice global de vídeo por meio da API JSON pública de playlist e fornecer um índice arbitrário ao endpoint de exclusão para remover permanentemente conteúdo de playlists que não lhes pertencem. Trata-se de uma falha de autorização quebrada no nível do objeto (broken object level authorization), que ocorre quando uma aplicação não verifica adequadamente se o usuário tem permissão para acessar ou modificar um objeto específico.
Recommendations Atualize para a versão que contém o commit 77ad416. Restrinja o acesso à ação remove video no endpoint de playlist para minimizar o risco de exclusões não autorizadas.

Exploit

Correção

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-58447

Produtos afetados

Invidious