CVE-2026-40925 in AVideo
Tóm tắt
Bởi VulDB • 28/05/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản 29.0 và các phiên bản trước đó, `objects/configurationUpdate.json.php` (cũng được định tuyến qua `/updateConfig`) lưu trữ hàng chục cài đặt toàn cầu của trang web từ `$_POST` nhưng chỉ bảo vệ điểm cuối này bằng `User::isAdmin()`. Nó không gọi `forbidIfIsUntrustedRequest()`, không xác minh `globalToken`, và không xác thực tiêu đề Origin/Referer. Vì AVideo cố tình đặt `session.cookie_samesite=None` để hỗ trợ nhúng iframe khác nguồn, một quản trị viên đã đăng nhập khi truy cập một trang do kẻ tấn công kiểm soát sẽ khiến trình duyệt tự động gửi một yêu cầu POST khác nguồn, ghi đè URL bộ mã hóa, thông tin đăng nhập SMTP, mã HTML của trang, logo, favicon, email liên hệ và nhiều cài đặt khác trong một yêu cầu duy nhất. Commit f9492f5e6123dff0292d5bb3164fde7665dc36b4 chứa bản sửa lỗi.
If you want to get best quality of vulnerability data, you may have to visit VulDB.