CVE-2026-58447
Invidious - Cross-User Playlist Video Deletion via Missing Ownership Check
Vexday Risk Score
38Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 7.1EPSS —KEV nãoPoC públicaNuclei —Metasploit —Patch referenciado
Ciclo de vida
30 jun 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
Invidious through 2.20260626.0, fixed in commit 77ad416, contains a broken object level authorization vulnerability that allows authenticated attackers to delete videos from other users' playlists by supplying an arbitrary global video index in the remove_video action of the playlist endpoint. Attackers can obtain per-video index values from the public playlist JSON API and submit them to the playlist video deletion endpoint without ownership validation, permanently removing videos from playlists they do not own.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
Produtos afetados
iv-org · InvidiousPoCs públicas encontradas — 1
cve_referencegithub.com/iv-org/invidious/issues/5777não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →