Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
26.0.1
CVE-2026-34731 describes a vulnerability within the AVideo onpublishdone.php endpoint of the Live plugin, permitting unauthorized users to prematurely end active live streams. This flaw stems from a lack of authentication or authorization checks when processing RTMP callback events, enabling attackers to disrupt live broadcasts. The vulnerability affects versions of AVideo up to 26.0, and a fix is available.
CVE-2026-34731 in AVideo's Live plugin stelt niet-geauthenticeerde gebruikers in staat om elke actieve live stream te beëindigen. De onpublishdone.php endpoint verwerkt RTMP callback-events om streams als voltooid in de database te markeren, maar voert geen authenticatie- of autorisatiecontroles uit. Dit betekent dat een aanvaller, zonder in te loggen, live uitzendingen van andere gebruikers kan onderbreken. De impact is aanzienlijk, wat kan leiden tot verlies van live content, verstoring van belangrijke evenementen en reputatieschade voor het platform. De CVSS-severity score is 7.5, wat een hoog risico aangeeft.
Een aanvaller kan deze kwetsbaarheid uitbuiten door eerst actieve stream-sleutels op te sommen met behulp van de stats.json.php endpoint, die ook zonder authenticatie toegankelijk is. Zodra de aanvaller de stream-sleutel kent, kan hij zorgvuldig samengestelde POST-verzoeken naar de onpublishdone.php endpoint sturen om de stream te beëindigen. De eenvoud van de exploitatie maakt deze kwetsbaarheid bijzonder zorgwekkend, omdat deze gemakkelijk kan worden uitgebuit door aanvallers met basis technische vaardigheden. Het ontbreken van invoervalidatie in onpublishdone.php stelt de aanvaller in staat om de uitkomst van de operatie te controleren en de gewenste stream te beëindigen.
Organizations and individuals using the wwbn/avideo Live plugin for live streaming are at risk, particularly those running versions 26.0 and below. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially impact all live streams on the server.
• php: Examine web server access logs for POST requests to onpublishdone.php originating from unusual or unauthorized IP addresses.
• php: Use grep to search plugin files for the onpublishdone.php endpoint and related code, looking for missing authentication checks.
• generic web: Monitor network traffic for POST requests to onpublishdone.php with potentially malicious payloads.
• generic web: Check response headers for unusual or unexpected behavior after sending requests to onpublishdone.php.
disclosure
Exploit Status
EPSS
0.17% (38% percentiel)
CISA SSVC
CVSS-vector
Momenteel is er geen officiële fix beschikbaar van de AVideo-ontwikkelaar. De meest effectieve directe mitigatie is het uitschakelen van de Live plugin totdat een update wordt uitgebracht. Als tijdelijke maatregel kan een Web Application Firewall (WAF) worden geïmplementeerd om POST-verzoeken naar onpublishdone.php te blokkeren die niet afkomstig zijn van vertrouwde bronnen. Het is cruciaal om serverlogs actief te monitoren op verdachte activiteiten met betrekking tot deze endpoint. AVideo-gebruikers moeten op de hoogte blijven van beveiligingsupdates en patches toepassen zodra ze beschikbaar zijn. Het ontbreken van authenticatie in deze endpoint vertegenwoordigt een fundamentele fout die door de ontwikkelaar moet worden opgelost.
Er zijn momenteel geen patches beschikbaar op het moment van publicatie. Het wordt aanbevolen om de Live plugin uit te schakelen totdat een update wordt uitgebracht die de kwetsbaarheid verhelpt. Alternatief kan authenticatie en autorisatie worden geïmplementeerd in het (on_publish_done.php) endpoint om te voorkomen dat niet-geauthenticeerde gebruikers live uitzendingen beëindigen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
RTMP (Real-Time Messaging Protocol) is een multimedia-streamingprotocol dat vaak wordt gebruikt voor live videostreaming.
Als u de Live plugin van AVideo gebruikt en geen mitigatiemaatregelen heeft getroffen, is uw website waarschijnlijk kwetsbaar.
Controleer de serverlogs op verdachte activiteiten en overweeg om de Live plugin uit te schakelen.
Momenteel zijn er geen specifieke tools voor het detecteren van deze kwetsbaarheid, maar generieke web-vulnerability scanners kunnen worden gebruikt.
Er is geen geschatte publicatiedatum voor een officiële oplossing. Houd de communicatie van de AVideo-ontwikkelaar in de gaten.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.