CVE-2026-43877 in AVideoالمعلومات

الملخص

بحسب VulDB • 27/05/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 29.0 شاملاً، يُعد ملف objects/userSavePhoto.php نقطة نهاية قديمة لصور الملف الشخصي، تقبل معلمة POST مشفرة بصيغة base64 وتكتب البايتات المفككة إلى videos/userPhoto/photo.png. آلية التحكم في الوصول الوحيدة الخاصة بها هي User::isLogged(). لا ينتهي الملف بـ .json.php، لذا فهو مستبعد من حماية CSRF التلقائية العالمية للمشروع (التي تكون محدودة بالنطاق بناءً على اللاحقة في objects/include_config.php). لا توجد رمز CSRF، ولا يتم التحقق من العناوين Origin/Referer، ولا يتم التحقق من نوع MIME للبايتات المفككة. ونظراً لأن سياسة ملفات تعريف الارتباط الافتراضية في AVideo هي SameSite=None; Secure على HTTPS (objects/functionsPHP.php:227)، يمكن لمهاجم يغري مستخدماً مسجلاً للدخول بزيارة صفحة خبيثة أن يحل صورة الملف الشخصي لهذا المستخدم محلها ببايتات عشوائية، كما أنه يُفعّل استدعاءً عالمياً لـ clearCache(true) في كل طلب مزور. يحتوي الالتزام Commit 9c38468041505e637101c5943c5370c68f48e3ac على إصلاح محدث.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

04/05/2026

إفشاء

12/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362895

CPE

جاهز

CWE

CWE-352 (مؤكد)

CVSS

5.4 (CNA)

EPSS

0.00016

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43877
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43877
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43877/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!