Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
26.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Gallery de AVideo. El endpoint saveSort.json.php utiliza la entrada del usuario sin sanitizar del array $_REQUEST['sections'] directamente en la función eval() de PHP. Esta vulnerabilidad, combinada con la configuración SameSite=None de las cookies de sesión de AVideo, permite a un atacante ejecutar código de forma remota no autenticada si un administrador visita una página controlada por el atacante. Las versiones afectadas son las iguales o menores a 26.0.
La vulnerabilidad CSRF en AVideo Gallery Plugin permite a un atacante ejecutar código arbitrario en el servidor si puede engañar a un administrador para que visite una página maliciosa. El atacante puede inyectar código PHP a través del parámetro sections en la solicitud saveSort.json.php, que luego se ejecuta debido al uso de la función eval(). Dado que el endpoint está protegido por User::isAdmin(), pero carece de validación CSRF, la explotación se simplifica significativamente. El impacto es crítico, ya que la ejecución de código remoto no autenticada puede comprometer completamente el servidor y los datos asociados, incluyendo la posible exfiltración de información sensible y la toma de control del sistema. La configuración SameSite=None agrava el problema, permitiendo que las solicitudes CSRF se realicen desde dominios externos.
La vulnerabilidad CVE-2026-33479 ha sido publicada el 2026-03-20. No se ha añadido a KEV en este momento. La puntuación CVSS de 8.8 (ALTO) indica una alta probabilidad de explotación. La existencia de la función eval() sin validación adecuada, combinada con la configuración SameSite=None, facilita la explotación. Se espera que aparezcan pruebas de concepto (PoC) públicas en breve, dada la simplicidad de la explotación. Se recomienda monitorear los foros de seguridad y los repositorios de código para detectar PoCs y exploits.
Websites utilizing the AVideo Gallery plugin, particularly those with administrator accounts that frequently browse external websites, are at significant risk. Shared hosting environments where multiple websites share the same server are also vulnerable, as a compromise of one website could potentially lead to the compromise of others. Legacy configurations with outdated versions of the plugin are especially susceptible.
• php / wordpress:
grep -r 'eval($_REQUEST' /var/www/html/plugin/Gallery/view/• php / wordpress:
find /var/www/html/plugin/Gallery/view/ -name 'saveSort.json.php' -print• generic web:
curl -I https://your-website.com/plugin/Gallery/view/saveSort.json.php | grep 'SameSite'disclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Gallery de AVideo a la versión corregida (superior a 26.0) tan pronto como esté disponible. Si la actualización no es posible de inmediato, se recomienda implementar medidas de mitigación temporales. Una opción es restringir el acceso al endpoint saveSort.json.php a través de reglas de firewall o proxy, limitando las solicitudes a fuentes confiables. Otra medida es implementar una validación CSRF robusta en el endpoint, aunque esto requiere modificaciones en el código del plugin. Además, se recomienda revisar y fortalecer las políticas de seguridad de contraseñas y la autenticación de usuarios para reducir el riesgo de ataques de phishing que podrían comprometer las cuentas de administrador. Después de la actualización, confirme la mitigación revisando los registros del servidor en busca de intentos de explotación y verificando que el endpoint saveSort.json.php ahora requiere una validación CSRF.
Actualice AVideo a una versión posterior a la 26.0. La vulnerabilidad se corrige en el commit 087dab8841f8bdb54be184105ef19b47c5698fcb. Esto evitará la inyección de código PHP a través de la función eval() en el plugin Gallery.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33479 is a critical CSRF vulnerability in the AVideo Gallery plugin for PHP, allowing unauthenticated RCE via crafted requests to the saveSort.json.php endpoint.
You are affected if you are using AVideo Gallery plugin versions 26.0 or earlier. Administrators are particularly at risk.
Upgrade to a patched version of the AVideo Gallery plugin as soon as it is available. Implement WAF rules and restrict administrator access as temporary mitigations.
While no public exploits are currently known, the vulnerability's ease of exploitation makes it a high-priority target. Monitor security advisories for updates.
Refer to the AVideo project's official website and security advisories for updates and the latest patch information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.