CVE-2026-40925 in AVideoinfo

Zusammenfassung

von VulDB • 17.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In den Versionen 29.0 und älteren wird `objects/configurationUpdate.json.php` (das auch über `/updateConfig` erreichbar ist) verwendet, um Dutzende globaler Site-Einstellungen aus `$_POST` zu speichern. Der Endpunkt wird jedoch nur durch `User::isAdmin()` geschützt. Es wird keine `forbidIfIsUntrustedRequest()`-Funktion aufgerufen, kein `globalToken` überprüft und der Origin-/Referer-Header wird nicht validiert. Da AVideo aus Gründen der Unterstützung von Cross-Origin-iFrame-Embeddings absichtlich `session.cookie_samesite=None` festlegt, kann ein angemeldeter Administrator, der eine vom Angreifer kontrollierte Seite besucht, dazu gebracht werden, dass der Browser automatisch einen Cross-Origin-POST sendet, der in einer einzigen Anfrage die Encoder-URL, SMTP-Anmeldeinformationen, das Site-HTML, das Logo, das Favicon, die Kontakt-E-Mail-Adresse und weitere Einstellungen der Site überschreibt. Der Commit f9492f5e6123dff0292d5bb3164fde7665dc36b4 enthält eine Korrektur.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

15.04.2026

Veröffentlichung

22.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358575

CPE

bereit

EPSS

0.00028

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40925
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40925
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40925/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!