CVE-2026-34613 in AVideoinformazioni

Riassunto

di VulDB • 15/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, l'endpoint di AVideo objects/pluginSwitch.json.php consente agli amministratori di abilitare o disabilitare qualsiasi plugin installato. L'endpoint verifica la presenza di una sessione admin attiva ma non convalida un token CSRF. Inoltre, la tabella del database dei plugins è esplicitamente elencata in ignoreTableSecurityCheck(), il che significa che anche la convalida del dominio Referer/Origin a livello ORM in ObjectYPT::save() viene aggirata. Combinato con SameSite=None sui cookie di sessione, un attaccante può disabilitare plugin di sicurezza critici (come LoginControl per l'2FA, enforcement delle sottoscrizioni o plugin di controllo degli accessi) indurrendo un amministratore a visitare una pagina malevola. Al momento della pubblicazione, non sono disponibili patch pubblicamente.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

01/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00201

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!