Plataforma
other
Componente
pilos
Corregido en
4.10.1
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en PILOS (Platform for Interactive Live-Online Seminars), una plataforma frontend para BigBlueButton. Esta vulnerabilidad, presente en versiones anteriores o iguales a 4.10.0, afecta a un punto final de API administrativo responsable de terminar todas las conferencias de video activas en un servidor. Aunque se aplican controles de autorización, el uso de una solicitud HTTP GET permite la ejecución implícita de la acción a través de contenido del mismo sitio.
La vulnerabilidad CSRF en PILOS permite a un atacante, bajo ciertas circunstancias, provocar la terminación de todas las conferencias de video activas en un servidor. Aunque la vulnerabilidad requiere que el atacante controle contenido del mismo sitio (como recursos integrados), el impacto puede ser significativo, interrumpiendo sesiones de aprendizaje en vivo y afectando a los participantes. La naturaleza destructiva de la acción, combinada con la facilidad de ejecución a través de una solicitud GET, aumenta el riesgo. No se han reportado incidentes de explotación pública, pero la vulnerabilidad representa un riesgo potencial para organizaciones que utilizan PILOS en entornos donde la seguridad del contenido del mismo sitio no está completamente controlada.
La vulnerabilidad CVE-2026-22800 fue publicada el 12 de enero de 2026. No se encuentra en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción. No se han reportado públicamente pruebas de concepto (PoC) para esta vulnerabilidad. La probabilidad de explotación se considera baja debido a la necesidad de controlar contenido del mismo sitio, aunque el riesgo debe ser mitigado.
Organizations utilizing PILOS as a frontend for BigBlueButton, particularly those with legacy configurations or shared hosting environments, are at risk. Educational institutions, online training providers, and any entity relying on BigBlueButton for live online seminars should prioritize upgrading to the patched version.
disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar PILOS a la versión 4.10.0 o superior, donde se ha corregido el problema. Si la actualización inmediata no es posible, se recomienda revisar y fortalecer las políticas de seguridad del mismo sitio para minimizar el riesgo de explotación. Implementar medidas de seguridad adicionales, como la validación estricta de las solicitudes y la aplicación de políticas de Content Security Policy (CSP), puede ayudar a reducir la superficie de ataque. Aunque no hay firmas de detección específicas disponibles, monitorear los registros de auditoría en busca de solicitudes GET sospechosas al punto final de API puede ayudar a identificar posibles intentos de explotación.
Actualice PILOS a la versión 4.10.0 o superior. Esta versión corrige la vulnerabilidad CSRF que permite la terminación no intencionada de videoconferencias. La actualización previene que un administrador autenticado, al visualizar contenido malicioso, active accidentalmente la terminación de todas las videoconferencias activas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22800 is a Cross-Site Request Forgery (CSRF) vulnerability in PILOS versions up to 4.10.0, allowing attackers to potentially terminate all active video conferences on a server via a GET request.
You are affected if you are using PILOS versions 4.10.0 or earlier. Upgrade to 4.10.0 to mitigate the risk.
Upgrade PILOS to version 4.10.0 or later. As a temporary workaround, implement strict Content Security Policy (CSP) headers.
There are currently no reports of active exploitation, but the vulnerability remains a potential risk.
Refer to the PILOS project's official security advisories for the most up-to-date information and guidance.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.