CVE-2026-34611 in AVideoinformazioni

Riassunto

di VulDB • 16/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, l'endpoint di AVideo objects/emailAllUsers.json.php consente agli amministratori di inviare email HTML a tutti gli utenti registrati sulla piattaforma. Sebbene l'endpoint verifichi lo stato della sessione amministrativa, non convalida un token CSRF. Poiché AVideo imposta SameSite=None sui cookie di sessione, una richiesta POST cross-origin proveniente da una pagina controllata dall'attaccante includerà automaticamente il cookie di sessione dell'amministratore. Un attaccante che induce un amministratore a visitare una pagina malevola può inviare un'email HTML arbitraria a tutti gli utenti della piattaforma, facendola apparire come originata dall'indirizzo SMTP legittimo dell'istanza. Al momento della pubblicazione, non sono disponibili patch pubblicamente accessibili.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

01/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00157

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!