Retour à la liste

AVideo: Unauthenticated Arbitrary Email Sending via sendEmail.json.php Enables Phishing from the Site’s Legitimate From Address — CVE-2026-43880

GitHub · GitHub · CVE-2026-43880

ID
CVE-2026-43880
Date
Mis à jour
Activity
Source
GitHub
Fournisseur
GitHub
Risque
medium
CVSS
5.3
EPSS
0.0006

Résumé

## Summary `objects/sendEmail.json.php` exposes two branches depending on whether `contactForm=1` is submitted. When the parameter is omitted, the endpoint sets `$sendTo` to an attacker-supplied email and, for unauthenticated callers, uses the site's own contact email as the message `From:`/`Reply-To:`. The endpoint is explicitly allow-listed as a "public write action" in `objects/functionsSecurity.php` (line 885),…

Produit

composer: wwbn/avideo

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

  • Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
  • Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
  • Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
  • Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

Avis associés

GitHub GitHub 2026-W20