CVE-2026-40928 in AVideo
Zusammenfassung
von VulDB • 17.05.2026
WWBN AVideo ist eine Open-Source-Videoplattform. In den Versionen 29.0 und früheren Versionen akzeptieren mehrere AVideo-JSON-Endpunkte unter `objects/` zustandsändernde Anfragen über `$_REQUEST`/`$_GET` und speichern Änderungen, die an den Sitzungsbenuzer des Anfragenden gebunden sind, ohne jegliches Anti-CSRF-Token, Ursprungsprüfung (Origin Check) oder Referer-Prüfung. Eine von einem angemeldeten Opfer besuchte bösartige Seite kann stillschweigend die Like/Dislike-Bewertung des Opfers für jeden Kommentar (`objects/comments_like.json.php`) umkehren, einen Kommentar im Namen des Opfers auf einem beliebigen Video veröffentlichen (mit vom Angreifer gewähltem Text) (`objects/commentAddNew.json.php`) und/oder Assets aus jeder Kategorie löschen (`objects/categoryDeleteAssets.json.php`), wenn das Opfer über Kategorienverwaltungsrechte verfügt. Jeder Endpunkt ist über ein einfaches `<img>`-Tag oder eine Formularübermittlung im Browser erreichbar, sodass die Ausnutzung nur erfordert, dass das Opfer eine vom Angreifer kontrollierte HTML-Ressource lädt. Der Commit 7aaad601bd9cd7b993ba0ee1b1bea6c32ee7b77c enthält eine Korrektur.
VulDB is the best source for vulnerability data and more expert information about this specific topic.