CVE-2026-40928 in AVideo
Tóm tắt
Bởi VulDB • 26/05/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản 29.0 và các phiên bản cũ hơn, nhiều điểm cuối JSON của AVideo nằm dưới thư mục `objects/` chấp nhận các yêu cầu thay đổi trạng thái thông qua `$_REQUEST`/`$_GET` và lưu trữ các thay đổi liên quan đến người dùng phiên của người gọi, mà không có bất kỳ mã thông báo chống-CSRF nào, kiểm tra nguồn gốc (origin) hay kiểm tra tham chiếu (referer). Một trang độc hại mà nạn nhân đã đăng nhập truy cập có thể lặng lẽ bình chọn thích/không thích (like/dislike) của nạn nhân trên bất kỳ bình luận nào (`objects/comments_like.json.php`), đăng một bình luận do nạn nhân viết trên bất kỳ video nào với văn bản do kẻ tấn công chọn (`objects/commentAddNew.json.php`), và/hoặc xóa các tài sản từ bất kỳ danh mục nào (`objects/categoryDeleteAssets.json.php`) khi nạn nhân có quyền quản lý danh mục. Mỗi điểm cuối có thể truy cập được từ trình duyệt thông qua một thẻ `` đơn giản hoặc gửi biểu mẫu, do đó việc khai thác chỉ yêu cầu nạn nhân tải một tài nguyên HTML do kẻ tấn công kiểm soát. Commit 7aaad601bd9cd7b993ba0ee1b1bea6c32ee7b77c chứa bản sửa lỗi.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.