目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-43873— WWBN AVideo 安全漏洞

CVSS 7.5 · High EPSS 0.03% · P9
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-43873の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
WWBN AVideo: Unauthenticated Disclosure of CloneSite `myKey` via Error Echo in `cloneClient.json.php` Enables Cross-Site DB Dump of the Configured Clone Server
ソース: NVD (National Vulnerability Database)
脆弱性説明
WWBN AVideo is an open source video platform. In versions up to and including 29.0, plugin/CloneSite/cloneClient.json.php echoes the local CloneSite shared secret ($objClone->myKey, a constant md5($global['systemRootPath'] . $global['salt'])) into the HTTP response body on every unauthenticated request. The unauthenticated error branch was intended to reject non-admin callers without a valid key, but the rejection message interpolates the expected key before die(). When the victim has CloneSite configured with a remote cloneSiteURL (standard federation/backup setup), the leaked myKey is exactly the credential that authenticates the victim to that remote server's cloneServer.json.php, allowing the attacker to impersonate the victim and trigger a full mysqldump of the remote's database to the remote's public videos/clones/ directory Commit e6566f56a28f4556b2a0a09d03717a719dcb49da contains an updated fix.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
通过错误消息导致的信息暴露
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
WWBN AVideo 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
WWBN AVideo是WWBN团队的一个由PHP编写的视频平台建站系统。 WWBN AVideo 29.0及之前版本存在安全漏洞,该漏洞源于plugin/CloneSite/cloneClient.json.php在未经验证的请求中回显本地CloneSite共享密钥,可能导致攻击者冒充受害者并触发远程数据库完整转储。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
WWBNAVideo <= 29.0 -

II. CVE-2026-43873の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-43873のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · WWBN · 2026-05-11 · 13 CVEs total

CVE-2026-438847.7 HIGHWWBN AVideo: SSRF Protection Bypass via HTTP Redirect and DNS Rebinding in isSSRFSafeURL()
CVE-2026-438747.2 HIGHWWBN AVideo: Incomplete Fix for YPTSocket autoEvalCodeOnHTML Strip: Unauthenticated Cross-
CVE-2026-438756.8 MEDIUMWWBN AVideo: Password Hash Leaked in MobileManager OAuth Redirect URL Enables Account Take
CVE-2026-438766.4 MEDIUMWWBN AVideo: HTML Injection in notifySubscribers.json.php Enables Platform-Branded Phishin
CVE-2026-438786.1 MEDIUMWWBN AVideo: Reflected XSS in plugin/Meet/iframe.php via Unescaped `user`/`pass` Parameter
CVE-2026-438795.4 MEDIUMWWBN AVideo: Blind SSRF in YPTWallet Donation Webhook via Missing isSSRFSafeURL() Check an
CVE-2026-438775.4 MEDIUMWWBN AVideo: CSRF in userSavePhoto.php Allows Cross-Origin Overwrite of Any Logged-in User
CVE-2026-438815.3 MEDIUMWWBN AVideo: Unauthenticated User Enumeration in `objects/users.json.php` via `isCompany`
CVE-2026-438805.3 MEDIUMWWBN AVideo: Unauthenticated Arbitrary Email Sending via sendEmail.json.php Allows Phishin
CVE-2026-438824.3 MEDIUMWWBN AVideo: Unauthenticated CRLF/ICS Injection in Scheduler downloadICS.php Allows Calend
CVE-2026-438834.2 MEDIUMWWBN AVideo: IDOR in PayPalYPT agreementCancel.json.php Allows Any Authenticated User to C
CVE-2026-43885WWBN AVideo: Exposure of Sensitive Information to an Unauthorized Actor and Missing Author

IV. 関連脆弱性

同じ製品: AVideo
同じベンダー: WWBN
同じ弱点: CWE-209

V. CVE-2026-43873へのコメント

まだコメントはありません

コメントを残す