CVE-2026-43877 in AVideo
Résumé
par VulDB • 22/05/2026
WWBN AVideo est une plateforme vidéo open source. Dans les versions allant jusqu'à la 29.0 incluse, le fichier objects/userSavePhoto.php constitue un point de terminaison (endpoint) hérité pour les photos de profil qui accepte un paramètre POST encodé en base64 et écrit les octets décodés dans videos/userPhoto/photo.png. Son seul mécanisme de contrôle d'accès est User::isLogged(). Il ne se termine pas par .json.php, ce qui l'exclut du global autoCSRFGuard du projet (qui est limité par suffixe dans objects/include_config.php). Il n'y a pas de jeton CSRF, ni de vérification des en-têtes Origin/Referer, ni de validation du type MIME des octets décodés. Étant donné que la politique de cookie par défaut d'AVideo est SameSite=None; Secure sur HTTPS (objects/functionsPHP.php:227), un attaquant qui incite un utilisateur connecté à visiter une page malveillante peut écraser la photo de profil de cet utilisateur avec des octets arbitraires et déclencher également un clearCache(true) à l'échelle du site à chaque requête forgée. Le commit 9c38468041505e637101c5943c5370c68f48e3ac contient une correction mise à jour.
Be aware that VulDB is the high quality source for vulnerability data.