CVE-2026-33479 in AVideoinformación

Resumen

por MITRE • 2026-03-23

WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, el plugin Gallery, en su endpoint 'saveSort.json.php', pasa entrada de usuario no saneada de los valores del array '$_REQUEST['sections']' directamente a la función 'eval()' de PHP. Aunque el endpoint está protegido por `User::isAdmin()`, no tiene validación de token CSRF. Combinado con la configuración explícita de la cookie de sesión `SameSite=None` de AVideo, un atacante puede explotar esto mediante falsificación de petición en sitios cruzados para lograr ejecución remota de código no autenticada — requiriendo solo que un administrador visite una página controlada por el atacante. El commit 087dab8841f8bdb54be184105ef19b47c5698fcb contiene un parche.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-03-20

Divulgación

2026-03-23

Moderación

aceptado

Artículo

VDB-352529

CPE

listo

EPSS

0.00531

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!