CVE-2026-40925 in AVideo
요약
\~에 의해 VulDB • 2026. 05. 28.
WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 버전 29.0 및 이전 버전에서 `objects/configurationUpdate.json.php`(또는 `/updateConfig`를 통해 라우팅됨)는 `$_POST`에서 수십 개의 전역 사이트 설정을 영구 저장하지만, 해당 엔드포인트는 `User::isAdmin()`로만 보호됩니다. `forbidIfIsUntrustedRequest()`를 호출하지 않으며, `globalToken`을 검증하지 않고, Origin/Referer 헤더도 검증하지 않습니다. AVideo는 크로스 오리진 iframe 임베딩을 지원하기 위해 의도적으로 `session.cookie_samesite=None`을 설정하므로, 공격자가 제어하는 페이지를 방문하는 로그인된 관리자의 브라우저는 크로스 오리진 POST를 자동 제출하여 단일 요청으로 사이트의 인코더 URL, SMTP 자격 증명, 사이트 `` HTML, 로고, 파비콘, 연락처 이메일 등을 재작성할 수 있습니다. 커밋 f9492f5e6123dff0292d5bb3164fde7665dc36b4에 수정 사항이 포함되어 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.