CVE-2026-40925 in AVideoالمعلومات

الملخص

بحسب VulDB • 28/05/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات 29.0 والإصدارات الأقدم، يحفظ الملف `objects/configurationUpdate.json.php` (الذي يتم توجيهه أيضاً عبر `/updateConfig`) عشرات الإعدادات العالمية للموقع من `$_POST`، لكنه يحمي نقطة النهاية هذه فقط باستخدام `User::isAdmin()`. لا يستدعي الدالة `forbidIfIsUntrustedRequest()`، ولا يتحقق من `globalToken`، ولا يقوم بمراجعة رأس Origin/Referer. ونظراً لأن AVideo يضبط عمداً `session.cookie_samesite=None` لدعم تضمين iframe عبر النطاقات، فإن زائر متصفح مسجل دخول كمسؤول لصفحة يتحكم فيها المهاجم سيؤدي إلى إرسال المتصفح تلقائياً لطلب POST عبر النطاقات يعيد كتابة عنوان URL لمُشفّر الموقع، ومعلومات اعتماد SMTP، ووسوم HTML العالمية للموقع، والشعار، وأيقونة الموقع (favicon)، وبريد الاتصال الإلكتروني، وغيرها من الإعدادات في طلب واحد. يحتوي الالتزام f9492f5e6123dff0292d5bb3164fde7665dc36b4 على إصلاح للمشكلة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

15/04/2026

إفشاء

22/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-358575

CPE

جاهز

CWE

CWE-352 (مؤكد)

CVSS

8.3 (CNA)

EPSS

0.00028

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40925
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40925
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40925/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!