WWBN AVideo is an open source video platform. In versions up to and including 26.0, an unauthenticated server-side request forgery vulnerability in `plugin/Live/test.php` allows any remote user to make the AVideo server send HTTP requests to arbitrary URLs. This can be used to probe localhost/internal services and, when reachable, access internal HTTP resources or cloud metadata endpoints. Commit 1e6cf03e93b5a5318204b010ea28440b0d9a5ab3 contains a patch.
WWBN AVideo versions up to 26.0 contain an unauthenticated server-side request forgery (SSRF) vulnerability in plugin/Live/test.php that allows remote attackers to make the server send HTTP requests to arbitrary URLs. This vulnerability can be exploited to probe internal services, access cloud metadata endpoints, and potentially compromise sensitive internal resources.
ثغرة SSRF في WWBN AVideo تسمح لأي مستخدم بعيد غير مصرح به بإجبار خادم AVideo على إرسال طلبات HTTP إلى عناوين URL تعسفية عبر ملف plugin/Live/test.php. يمكن استخدام هذه الثغرة للوصول إلى الخدمات الداخلية والموارد المحمية وبيانات السحابة الحساسة.
WWBN AVideo إصدارات حتى 26.0 تحتوي على ثغرة SSRF غير مصرح بها في plugin/Live/test.php تسمح للمهاجمين بإجبار الخادم على إرسال طلبات HTTP إلى عناوين URL عشوائية. يمكن استغلال هذه الثغرة للوصول إلى الخدمات الداخلية ونقاط نهاية بيانات السحابة.
Upgrade WWBN AVideo to version 26.1 or later that includes commit 1e6cf03e93b5a5318204b010ea28440b0d9a5ab3. Implement network segmentation to restrict outbound connections from the AVideo server. Apply WAF rules to block requests to internal IP ranges and cloud metadata endpoints. Disable or restrict access to plugin/Live/test.php if not required. Monitor outbound HTTP/HTTPS traffic from the AVideo server for suspicious activity.
قم بترقية WWBN AVideo إلى الإصدار 26.1 أو أحدث الذي يتضمن الإصلاح. قم بتطبيق تقسيم الشبكة لتقييد الاتصالات الصادرة من خادم AVideo. طبق قواعد جدار الحماية لحظر الطلبات إلى نطاقات IP الداخلية. عطل أو قيد الوصول إلى plugin/Live/test.php إذا لم يكن مطلوباً. راقب حركة HTTP/HTTPS الصادرة من خادم AVideo.