प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
26.0.1
26.0.1
CVE-2026-34731 describes a vulnerability within the AVideo onpublishdone.php endpoint of the Live plugin, permitting unauthorized users to prematurely end active live streams. This flaw stems from a lack of authentication or authorization checks when processing RTMP callback events, enabling attackers to disrupt live broadcasts. The vulnerability affects versions of AVideo up to 26.0, and a fix is available.
AVideo के Live प्लगइन में CVE-2026-34731 किसी भी सक्रिय लाइव स्ट्रीम को अनधिकृत उपयोगकर्ताओं को समाप्त करने की अनुमति देता है। onpublishdone.php एंडपॉइंट RTMP कॉलबैक इवेंट को संसाधित करता है ताकि डेटाबेस में स्ट्रीम को समाप्त के रूप में चिह्नित किया जा सके, लेकिन कोई प्रमाणीकरण या प्राधिकरण जांच नहीं करता है। इसका मतलब है कि एक हमलावर बिना लॉग इन किए अन्य उपयोगकर्ताओं के लाइव प्रसारण को बाधित कर सकता है। प्रभाव महत्वपूर्ण है, जिससे लाइव सामग्री का नुकसान, महत्वपूर्ण घटनाओं में व्यवधान और प्लेटफ़ॉर्म की प्रतिष्ठा को नुकसान हो सकता है। CVSS गंभीरता स्कोर 7.5 है, जो उच्च जोखिम दर्शाता है।
एक हमलावर stats.json.php एंडपॉइंट का उपयोग करके सक्रिय स्ट्रीम कुंजियों को सूचीबद्ध करके इस भेद्यता का फायदा उठा सकता है, जो प्रमाणीकरण के बिना भी सुलभ है। एक बार जब हमलावर स्ट्रीम कुंजी जान जाता है, तो वह onpublishdone.php एंडपॉइंट पर सावधानीपूर्वक तैयार किए गए POST अनुरोध भेजकर स्ट्रीम को समाप्त कर सकता है। शोषण की सरलता इस भेद्यता को विशेष रूप से चिंताजनक बनाती है, क्योंकि बुनियादी तकनीकी कौशल वाले हमलावर इसे आसानी से शोषण कर सकते हैं। onpublishdone.php में इनपुट सत्यापन की कमी हमलावर को ऑपरेशन के परिणाम को नियंत्रित करने और वांछित स्ट्रीम को समाप्त करने की अनुमति देती है।
Organizations and individuals using the wwbn/avideo Live plugin for live streaming are at risk, particularly those running versions 26.0 and below. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially impact all live streams on the server.
• php: Examine web server access logs for POST requests to onpublishdone.php originating from unusual or unauthorized IP addresses.
• php: Use grep to search plugin files for the onpublishdone.php endpoint and related code, looking for missing authentication checks.
• generic web: Monitor network traffic for POST requests to onpublishdone.php with potentially malicious payloads.
• generic web: Check response headers for unusual or unexpected behavior after sending requests to onpublishdone.php.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.17% (38% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, AVideo डेवलपर से कोई आधिकारिक फिक्स प्रदान नहीं किया गया है। सबसे प्रभावी तत्काल शमन उपाय Live प्लगइन को अक्षम करना है जब तक कि अपडेट जारी न हो जाए। एक अस्थायी उपाय के रूप में, Web Application Firewall (WAF) को लागू किया जा सकता है ताकि विश्वसनीय स्रोतों से न आने वाले onpublishdone.php पर POST अनुरोधों को ब्लॉक किया जा सके। इस एंडपॉइंट से संबंधित सर्वर लॉग की सक्रिय रूप से निगरानी करना महत्वपूर्ण है। AVideo उपयोगकर्ता सुरक्षा अपडेट के बारे में हमेशा सूचित रहें और उपलब्ध होने पर पैच लागू करें। इस एंडपॉइंट में प्रमाणीकरण की कमी एक मूलभूत दोष है जिसे डेवलपर को संबोधित करने की आवश्यकता है।
प्रकाशन के समय कोई पैच उपलब्ध नहीं हैं। लाइव प्लगइन को तब तक अक्षम करने की अनुशंसा की जाती है जब तक कि एक अपडेट जारी न किया जाए जो इस भेद्यता को ठीक करे। वैकल्पिक रूप से, अनधिकृत उपयोगकर्ताओं को लाइव प्रसारण समाप्त करने से रोकने के लिए on_publish_done.php एंडपॉइंट पर प्रमाणीकरण और प्राधिकरण लागू किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
RTMP (Real-Time Messaging Protocol) एक मल्टीमीडिया स्ट्रीमिंग प्रोटोकॉल है जिसका उपयोग अक्सर लाइव वीडियो प्रसारण के लिए किया जाता है।
यदि आप AVideo के Live प्लगइन का उपयोग कर रहे हैं और आपने कोई शमन उपाय नहीं किया है, तो आपकी वेबसाइट कमजोर होने की संभावना है।
सर्वर लॉग की जांच करें कि कोई संदिग्ध गतिविधि तो नहीं है और Live प्लगइन को अक्षम करने पर विचार करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन सामान्य वेब भेद्यता स्कैनर का उपयोग किया जा सकता है।
आधिकारिक फिक्स के लिए कोई अनुमानित रिलीज तिथि नहीं है। AVideo डेवलपर के संचार की निगरानी करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।