wwbn/avideo: Elevação de privilégios sem autenticação na API de cadastro

O método set_api_signUp no plugin API aceita os parâmetros emailVerified, canUpload, canStream e canCreateMeet fornecidos pelo usuário e os aplica a novas contas sem verificar se a requisição foi autenticada com um APISecret válido. Qualquer usuário anônimo que resolva um CAPTCHA pode auto-conceder permissões elevadas durante o registro.

Todas as instâncias do wwbn/avideo que usam o plugin API com cadastro habilitado, permitindo que qualquer usuário anônimo burle a verificação de email e obtenha privilégios de upload, transmissão e criação de reuniões.

Aplique a correção recomendada envolvendo o tratamento dos parâmetros de privilégio em uma verificação isAPISecretValid() ou desabilite o endpoint da API de cadastro até que o patch seja aplicado.