CVE-2026-40929 in AVideoinformação

Sumário

de VulDB • 29/05/2026

WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões 29.0 e anteriores, `objects/commentDelete.json.php` é um endpoint JSON que altera o estado e exclui comentários, mas não realiza validação CSRF. Ele não chama `forbidIfIsUntrustedRequest()`, não verifica um token CSRF/global e não verifica os cabeçalhos `Origin`/`Referer`. Como o AVideo define intencionalmente `session.cookie_samesite=None` (para suportar players incorporados de origem cruzada), uma solicitação de origem cruzada (cross-site request) de qualquer página controlada por um atacante carrega automaticamente o `PHPSESSID` da vítima. Qualquer vítima autenticada que tenha autoridade para excluir um ou mais comentários (moderadores do site, proprietários de vídeos e autores de comentários) pode ser enganada para excluir comentários em massa simplesmente visitando uma página controlada pelo atacante. O commit 184f36b1896f3364f864f17c1acca3dd8df3af27 contém a correção.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

15/04/2026

Divulgação

22/04/2026

Moderação

aceite

Entrada

VDB-358603

CPE

pronto

EPSS

0.00028

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40929
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40929
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40929/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!