CVE-2026-40926 in AVideoالمعلومات

الملخص

بحسب VulDB • 21/05/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات 29.0 والإصدارات الأقدم، تفرض ثلاث نقاط نهاية (endpoints) خاصة بـ JSON ومخصصة للمسؤولين فقط — وهي `objects/categoryAddNew.json.php` و `objects/categoryDelete.json.php` و `objects/pluginRunUpdateScript.json.php` — فحص الدور (role check) فقط (`Category::canCreateCategory()` / `User::isAdmin()`) وتنفيذ إجراءات تغير الحالة في قاعدة البيانات دون استدعاء `isGlobalTokenValid()` أو `forbidIfIsUntrustedRequest()`. نقاط النهاية المناظرة في نفس الدليل (`pluginSwitch.json.php`، `pluginRunDatabaseScript.json.php`) تفرض رمز CSRF (CSRF token)، لذا فإن غياب هذه الفحوصات يمثل إغفالاً وليس خياراً تصميمياً. يمكن لمهاجم، يغري مسؤولاً مسجلاً للدخول بزيارة صفحة خبيثة، إنشاء أو تحديث أو حذف الفئات (categories) وإجبار تنفيذ طريقة `updateScript()` لأي ملحق (plugin) مثبت ضمن جلسة المسؤول. يحتوي الالتزام (commit) ee5615153c40628ab3ec6fe04962d1f92e67d3e2 على الإصلاح.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

15/04/2026

إفشاء

22/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-358604

CPE

جاهز

CWE

CWE-352 (مؤكد)

CVSS

7.1 (CNA)

EPSS

0.00031

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40926
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40926
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40926/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!