Plattform
php
Komponente
wwbn/avideo
Behoben in
26.0.1
26.0.1
CVE-2026-34738 describes a security flaw in AVideo's video processing pipeline where the overrideStatus parameter allows unauthorized users to modify a video's status, effectively bypassing moderation workflows. This enables any user with upload permissions to directly publish videos, circumventing the intended content review process. The vulnerability impacts versions of AVideo up to 26.0, and a fix is now available.
Die CVE-2026-34738-Schwachstelle in AVideo ermöglicht es jedem Uploader mit Berechtigungen, den Status eines Videos direkt auf 'aktiv' (a) zu setzen, wodurch die von Administratoren kontrollierten Moderations- und Entwurfs-Workflows umgangen werden. Dies liegt daran, dass die Methode setStatus() den Statuscode anhand einer vordefinierten Liste validiert, aber nicht überprüft, ob der Aufrufer die Berechtigung hat, diesen bestimmten Status festzulegen. Ein Angreifer könnte diese Schwachstelle ausnutzen, um unangemessene oder nicht genehmigte Inhalte zu veröffentlichen, was sich negativ auf die Qualität und Sicherheit der Plattform auswirkt. Das Fehlen eines verfügbaren Fixes verschärft das Risiko, da die Schwachstelle weiterhin für Exploitation anfällig bleibt.
Ein Angreifer mit Upload-Berechtigungen in AVideo kann diese Schwachstelle ausnutzen, indem er eine overrideStatus-Anfrage mit dem Wert 'a' (aktiv) sendet. Aufgrund einer unzureichenden Berechtigungsvalidierung wird die Anfrage ohne ordnungsgemäße Autorisierung verarbeitet, wodurch der Angreifer Videos direkt veröffentlichen kann, wobei der Moderationsprozess umgangen wird. Die einfache Ausnutzbarkeit liegt in der Einfachheit der Anfrage und dem Fehlen angemessener Zugriffskontrollen. Die Ausnutzung könnte automatisiert werden, was die Massenveröffentlichung unerwünschter Inhalte ermöglicht.
Exploit-Status
EPSS
0.03% (7% Perzentil)
CISA SSVC
CVSS-Vektor
Da kein offizieller Fix bereitgestellt wird, konzentriert sich die unmittelbare Abschwächung auf die Implementierung strengerer Zugriffskontrollen innerhalb der Methode setStatus(). Dies beinhaltet die Überprüfung der Identität und Berechtigungen des Benutzers, bevor Statusänderungen zulässig sind. Es wird empfohlen, den Code im Zusammenhang mit der Videostatusverwaltung gründlich zu prüfen, um potenzielle Autorisierungsfehler zu identifizieren und zu beheben. Darüber hinaus kann die Implementierung eines detaillierten Protokollierungssystems für Statusänderungen dazu beitragen, Exploitationsversuche zu erkennen und darauf zu reagieren. Erwägen Sie, die Statusänderungsfunktion vorübergehend zu deaktivieren, bis eine geeignete Lösung implementiert ist.
Actualizar AVideo a una versión posterior a la 26.0, una vez que se publique un parche. Como medida temporal, revisar y moderar manualmente todos los videos subidos para asegurar que el contenido sea apropiado antes de publicarlo.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist ein eindeutiger Identifikator für diese spezifische Schwachstelle in AVideo.
Es könnte die Veröffentlichung unangemessener oder nicht genehmigter Inhalte ermöglichen, was sich auf die Qualität der Plattform auswirkt.
Derzeit wird von AVideo kein offizieller Fix bereitgestellt. Es werden Abschwächungsmaßnahmen empfohlen.
Implementieren Sie strengere Zugriffskontrollen und prüfen Sie den Code im Zusammenhang mit der Videostatusverwaltung.
Überwachen Sie die Kommunikationskanäle von AVideo und Vulnerability-Datenbanken wie NVD.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.