CVE-2026-34394 in AVideoالمعلومات

الملخص

بحسب VulDB • 22/06/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات 26.0 والإصدارات الأقدم، يفتقر نقطة نهاية تكوين إضافة إدارة AVideo (admin/save.json.php) إلى أي تحقق من صحة رمز CSRF. لا يوجد استدعاء لـ isGlobalTokenValid() أو verifyToken() قبل معالجة الطلب. وبمجرد الجمع مع سياسة ملفات تعريف الارتباط SameSite=None الصريحة للتطبيق، يمكن لمهاجم تزوير طلبات POST عبر النطاقات (cross-origin) من صفحة خبيثة لتجاوز إعدادات الإضافات التعسفية في جلسة مسؤول الضحية. نظرًا لأن جدول الإضافات (plugins table) مدرج في مصفوفة ignoreTableSecurityCheck() في objects/Object.php، فإن ضوابط الوصول على مستوى الجدول القياسية يتم تجاوزها أيضًا. وهذا يتيح الاستيلاء الكامل على وظائف المنصة من خلال إعادة تكوين معالجات الدفع، وموفري المصادقة، وبيانات اعتماد التخزين السحابي، وغيرها. في وقت النشر، لا توجد تصحيحات متاحة للعامة.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

27/03/2026

إفشاء

01/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354513

EPSS

0.00233

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!