CVE-2026-40928 in AVideo
요약
\~에 의해 VulDB • 2026. 05. 26.
WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 버전 29.0 및 그 이전 버전에서는 `objects/` 디렉토리 내의 여러 AVideo JSON 엔드포인트가 `$_REQUEST`/`$_GET`를 통해 상태 변경 요청을 허용하며, 호출자의 세션 사용자에 연결된 변경 사항을 영구 저장합니다. 이때 CSRF 토큰, Origin 확인, 또는 Referer 확인이 전혀 수행되지 않습니다. 로그인된 피해자가 악성 페이지를 방문하면, 피해자의 좋아요/싫어요를 어떤 댓글에 대해 조용히 토글할 수 있으며(`objects/comments_like.json.php`), 공격자가 선택한 텍스트로 피해자가 작성한 것처럼 댓글을 어떤 비디오에 게시할 수 있고(`objects/commentAddNew.json.php`), 피해자가 카테고리 관리 권한을 가진 경우 어떤 카테고리에서 자산 삭제(`objects/categoryDeleteAssets.json.php`)도 수행할 수 있습니다. 각 엔드포인트는 간단한 `` 태그나 폼 제출을 통해 브라우저에서 접근 가능하므로, 공격을 위해서는 피해자가 공격자가 제어하는 HTML 리소스를 로드하기만 하면 됩니다. 커밋 7aaad601bd9cd7b993ba0ee1b1bea6c32ee7b77c에 수정 사항이 포함되어 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.