Plataforma
php
Componente
avideo
Corregido en
26.0.1
La vulnerabilidad CVE-2026-34394 afecta a la plataforma de video de código abierto AVideo en versiones 26.0 y anteriores. Se trata de una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el endpoint de configuración del plugin (admin/save.json.php) que permite a un atacante modificar la configuración de plugins. Esta vulnerabilidad, combinada con la política de cookies SameSite=None, puede resultar en la manipulación de la configuración del administrador.
Un atacante puede explotar esta vulnerabilidad para forjar solicitudes POST entre sitios desde una página maliciosa a la sesión de un administrador víctima. Esto permite la modificación de configuraciones arbitrarias de plugins, comprometiendo potencialmente la funcionalidad y seguridad de la plataforma AVideo. La inclusión de la tabla de plugins en el array ignoreTableSecurityCheck() agrava el riesgo, ya que evita las comprobaciones de seguridad a nivel de tabla. La modificación de la configuración de plugins podría permitir la inyección de código malicioso, el robo de datos sensibles o la toma de control completa de la plataforma.
La vulnerabilidad fue publicada el 2026-03-31. No se ha reportado explotación activa a la fecha. La vulnerabilidad no figura en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Administrators of AVideo installations running versions 26.0 and earlier are at significant risk. Shared hosting environments where multiple users share the same AVideo instance are particularly vulnerable, as an attacker could potentially compromise the entire hosting account. Users who have not implemented robust security practices, such as regular security audits and plugin updates, are also at increased risk.
• php: Examine web server access logs for suspicious POST requests to admin/save.json.php originating from unfamiliar sources.
• php: Search plugin files for instances of ignoreTableSecurityCheck() and assess the security implications of the included tables.
• generic web: Monitor network traffic for POST requests to admin/save.json.php with unusual or unexpected data payloads.
• generic web: Check response headers for SameSite=None cookie policy and assess its potential impact on CSRF vulnerabilities.
disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
La mitigación principal es actualizar AVideo a la versión 26.1 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente los permisos de usuario y limitar el acceso al endpoint admin/save.json.php. Implementar medidas de seguridad adicionales, como la validación de entrada y la sanitización de datos, puede ayudar a reducir el riesgo. Considerar la implementación de una Web Application Firewall (WAF) con reglas para detectar y bloquear solicitudes CSRF.
Actualice AVideo a una versión posterior a la 26.0, una vez que se publique una versión corregida. Actualmente no hay parches disponibles, por lo que se recomienda monitorear las actualizaciones de seguridad de WWBN AVideo. Como medida temporal, se puede implementar una validación CSRF personalizada en el endpoint admin/save.json.php.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34394 is a Cross-Site Request Forgery (CSRF) vulnerability affecting AVideo versions up to 26.0, allowing attackers to modify plugin settings.
Yes, if you are running AVideo version 26.0 or earlier, you are vulnerable to this CSRF attack.
Upgrade to a patched version of AVideo. Until then, implement WAF rules and restrict plugin access.
There are currently no known active exploits, but the vulnerability is considered high severity.
Refer to the AVideo project's official website and security advisories for updates and mitigation guidance.
Vector CVSS
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.