WWBN AVideo Afectado por CSRF en la Configuración de la Apariencia del Reproductor a través de admin/playerUpdate.json.php
Plataforma
php
Componente
avideo
Corregido en
26.0.1
La vulnerabilidad CVE-2026-35181 es una falla de Cross-Site Request Forgery (CSRF) presente en AVideo, una plataforma de video de código abierto desarrollada por WWBN. Esta vulnerabilidad permite a un atacante modificar la configuración de la apariencia del reproductor de video en toda la plataforma. Afecta a las versiones 0.0.0 hasta la 26.0, y se ha solucionado en la versión 26.1.
Impacto y Escenarios de Ataque
Un atacante puede explotar esta vulnerabilidad para modificar la apariencia del reproductor de video en AVideo, potencialmente inyectando código malicioso o alterando la experiencia del usuario. La falta de validación de tokens CSRF en el endpoint admin/playerUpdate.json.php combinado con cookies SameSite=None facilita la ejecución de solicitudes POST desde un origen diferente. La exclusión de la tabla plugins de la verificación de seguridad del ORM elimina una capa adicional de protección, aumentando el riesgo. Esta manipulación podría usarse para desinformar a los usuarios, robar credenciales o incluso ejecutar código arbitrario en el contexto del usuario autenticado.
Contexto de Explotación
La vulnerabilidad CVE-2026-35181 fue publicada el 6 de abril de 2026. No se ha reportado explotación activa en entornos reales hasta el momento. La probabilidad de explotación se considera media debido a la naturaleza de la vulnerabilidad CSRF y la disponibilidad de herramientas para automatizar ataques. Se recomienda monitorear activamente los sistemas AVideo para detectar posibles intentos de explotación.
Quién Está en Riesgotraduciendo…
Organizations and individuals using AVideo for hosting and streaming video content are at risk. Specifically, deployments with weak cookie security settings (SameSite=None) are more vulnerable. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk, as an attacker could potentially exploit the vulnerability on behalf of another user.
Pasos de Deteccióntraduciendo…
• php: Examine web server access logs for suspicious POST requests to /admin/playerUpdate.json.php originating from unexpected IP addresses.
grep -i 'playerUpdate.json.php' /var/log/apache2/access.log | grep -i 'POST' | grep -v '127.0.0.1'• php: Review AVideo configuration files for any instances of ignoreTableSecurityCheck() that might be disabling security checks.
grep -r ignoreTableSecurityCheck /var/www/avideo/• generic web: Monitor for unusual changes in the video player's appearance across the platform, which could indicate a successful CSRF attack.
Cronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.02% (3% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2026-35181 es actualizar AVideo a la versión 26.1 o superior, que incluye la corrección de la vulnerabilidad CSRF. Si la actualización no es inmediatamente posible, considere implementar medidas temporales como la restricción del acceso al endpoint admin/playerUpdate.json.php a través de un firewall de aplicaciones web (WAF) o un proxy inverso. Además, asegúrese de que las cookies estén configuradas con SameSite=Strict o SameSite=Lax para mitigar el riesgo de ataques CSRF cross-origin. Después de la actualización, verifique la integridad de la configuración del reproductor de video para confirmar que la vulnerabilidad ha sido resuelta.
Cómo corregirlo
Actualice AVideo a la versión 26.1 o superior para mitigar la vulnerabilidad de CSRF. Esta actualización corrige la falta de validación de tokens CSRF en el punto final de configuración de la apariencia del reproductor, previniendo modificaciones no autorizadas de la apariencia del reproductor de video.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2026-35181 — CSRF in AVideo Video Platform?
CVE-2026-35181 is a Cross-Site Request Forgery (CSRF) vulnerability affecting AVideo versions 0.0.0 through 26.0, allowing attackers to modify the video player's appearance.
Am I affected by CVE-2026-35181 in AVideo Video Platform?
If you are running AVideo version 0.0.0 through 26.0, you are potentially affected by this vulnerability. Upgrade to version 26.1 or later to mitigate the risk.
How do I fix CVE-2026-35181 in AVideo Video Platform?
The recommended fix is to upgrade AVideo to version 26.1 or later. As a temporary workaround, implement a WAF rule to block unauthorized requests to /admin/playerUpdate.json.php.
Is CVE-2026-35181 being actively exploited?
There are currently no confirmed reports of active exploitation, but the vulnerability's simplicity suggests it could be exploited.
Where can I find the official AVideo advisory for CVE-2026-35181?
Refer to the AVideo project's official website and security advisories for the latest information and updates regarding CVE-2026-35181.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.