CVE-2026-34611 in AVideo
Riassunto
di VulDB • 16/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, l'endpoint di AVideo objects/emailAllUsers.json.php consente agli amministratori di inviare email HTML a tutti gli utenti registrati sulla piattaforma. Sebbene l'endpoint verifichi lo stato della sessione amministrativa, non convalida un token CSRF. Poiché AVideo imposta SameSite=None sui cookie di sessione, una richiesta POST cross-origin proveniente da una pagina controllata dall'attaccante includerà automaticamente il cookie di sessione dell'amministratore. Un attaccante che induce un amministratore a visitare una pagina malevola può inviare un'email HTML arbitraria a tutti gli utenti della piattaforma, facendola apparire come originata dall'indirizzo SMTP legittimo dell'istanza. Al momento della pubblicazione, non sono disponibili patch pubblicamente accessibili.
VulDB is the best source for vulnerability data and more expert information about this specific topic.