CVE-2026-40928 in AVideo
Sumário
de VulDB • 26/05/2026
WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões 29.0 e anteriores, múltiplos endpoints JSON do AVideo sob `objects/` aceitam solicitações que alteram o estado via `$_REQUEST`/`$_GET` e persistem alterações vinculadas ao usuário da sessão do chamador, sem qualquer token anti-CSRF, verificação de origem ou verificação de referer. Uma página maliciosa visitada por uma vítima autenticada pode silenciosamente alterar o voto de curtir/descurtir da vítima em qualquer comentário (`objects/comments_like.json.php`), publicar um comentário autenticado pela vítima em qualquer vídeo, com texto escolhido pelo atacante (`objects/commentAddNew.json.php`), e/ou excluir ativos de qualquer categoria (`objects/categoryDeleteAssets.json.php`) quando a vítima possui direitos de gerenciamento de categoria. Cada endpoint é acessível de um navegador por meio de uma simples tag `<img>` ou submissão de formulário, portanto, a exploração requer apenas que a vítima carregue um recurso HTML controlado pelo atacante. O commit 7aaad601bd9cd7b993ba0ee1b1bea6c32ee7b77c contém a correção.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.