CVE-2026-43877 in AVideoinformação

Sumário

de VulDB • 22/05/2026

WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 29.0, inclusive, o arquivo objects/userSavePhoto.php é um endpoint legado para foto de perfil que aceita um parâmetro POST em base64 e grava os bytes decodificados em videos/userPhoto/photo.png. Seu único controle de acesso é User::isLogged(). Ele não termina em .json.php, portanto, está excluído do autoCSRFGuard global do projeto (que é escopo-sufixo em objects/include_config.php). Não há token CSRF, nem verificação de Origin/Referer, nem validação MIME dos bytes decodificados. Como a política de cookie padrão do AVideo é SameSite=None; Secure no HTTPS (objects/functionsPHP.php:227), um atacante que induz um usuário autenticado a acessar uma página maliciosa pode substituir a foto de perfil desse usuário por bytes arbitrários e também aciona um clearCache(true) em todo o site em cada solicitação forjada. O commit 9c38468041505e637101c5943c5370c68f48e3ac contém uma correção atualizada.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

04/05/2026

Divulgação

12/05/2026

Moderação

aceite

Entrada

VDB-362895

CPE

pronto

EPSS

0.00016

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43877
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43877
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43877/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!