CVE-2026-43877 in AVideoinfo

Zusammenfassung

von VulDB • 15.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 29.0 ist objects/userSavePhoto.php ein veralteter Endpunkt für Profilfotos, der einen base64-codierten POST-Parameter akzeptiert und die decodierten Bytes in videos/userPhoto/photo.png schreibt. Die einzige Zugriffskontrolle ist User::isLogged(). Da der Endpunkt nicht auf .json.php endet, ist er vom globalen autoCSRFGuard des Projekts ausgeschlossen (der in objects/include_config.php suffix-gesteuert ist). Es gibt kein CSRF-Token, keine Überprüfung von Origin/Referer und keine MIME-Validierung der decodierten Bytes. Da die Standard-Cookie-Richtlinie von AVideo SameSite=None; Secure auf HTTPS lautet (objects/functionsPHP.php:227), kann ein Angreifer, der einen angemeldeten Benutzer auf eine bösartige Seite lockt, das Profilfoto dieses Benutzers mit beliebigen Bytes überschreiben und bei jeder gefälschten Anfrage ein site-weites clearCache(true) auslösen. Der Commit 9c38468041505e637101c5943c5370c68f48e3ac enthält eine aktualisierte Korrektur.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

04.05.2026

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362895

CPE

bereit

EPSS

0.00016

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43877
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43877
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43877/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!