Plataforma
php
Componente
wwbn/avideo
Corregido en
26.0.1
26.0.1
La vulnerabilidad CSRF (Cross-Site Request Forgery) identificada como CVE-2026-34613 afecta a wwbn/avideo en versiones 26.0 y anteriores. Esta falla permite a un atacante, aprovechando una sesión de administrador activa, deshabilitar plugins esenciales de seguridad, comprometiendo la integridad y confidencialidad del sistema. La falta de validación de tokens CSRF en el endpoint objects/pluginSwitch.json.php, combinada con la configuración SameSite=None en las cookies de sesión, facilita la explotación. Se recomienda actualizar a la versión corregida lo antes posible.
Un atacante puede explotar esta vulnerabilidad para deshabilitar plugins de seguridad críticos dentro de wwbn/avideo. Esto incluye plugins de control de inicio de sesión (2FA), cumplimiento de suscripciones y control de acceso. La deshabilitación de estos plugins abre la puerta a una amplia gama de ataques, como la suplantación de identidad de administradores, la manipulación de datos de usuarios y el acceso no autorizado a funcionalidades sensibles. La configuración SameSite=None en las cookies de sesión agrava el riesgo, ya que permite que las solicitudes maliciosas se originen desde dominios externos. La ausencia de una validación adecuada de tokens CSRF en el endpoint objects/pluginSwitch.json.php facilita la ejecución de estas solicitudes sin la necesidad de interacción directa del usuario.
La vulnerabilidad CVE-2026-34613 fue publicada el 1 de abril de 2026. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de CSRF y la disponibilidad de herramientas de automatización sugieren un riesgo potencial. La falta de validación de tokens CSRF es un patrón común en vulnerabilidades web y puede ser explotado con relativa facilidad. Se recomienda monitorear activamente los sistemas afectados en busca de signos de actividad sospechosa.
Organizations utilizing wwbn/avideo for video management and streaming, particularly those with administrator accounts and deployed plugins for authentication, subscription management, or access control, are at risk. Shared hosting environments where multiple users share the same AVideo instance are especially vulnerable, as an attacker could potentially exploit the vulnerability on behalf of another user.
• php: Examine the objects/pluginSwitch.json.php file for missing CSRF token validation. Search for the ignoreTableSecurityCheck() function call and its impact on ORM security checks.
grep -r 'ignoreTableSecurityCheck' /path/to/avideo• php: Monitor access logs for requests to objects/pluginSwitch.json.php originating from unexpected or unauthorized sources.
grep 'pluginSwitch.json.php' /var/log/apache2/access.log• generic web: Check session cookie attributes for SameSite=None. This configuration increases the risk of CSRF attacks.
curl -I https://your-avideo-site.com | grep Set-Cookiedisclosure
Estado del Exploit
EPSS
0.02% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-34613 es actualizar wwbn/avideo a una versión corregida que incluya la validación adecuada de tokens CSRF. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Una opción es configurar las cookies de sesión con el atributo SameSite=Strict para prevenir solicitudes de terceros. Además, se puede implementar un Web Application Firewall (WAF) con reglas que detecten y bloqueen solicitudes sospechosas dirigidas al endpoint objects/pluginSwitch.json.php. Otra medida es restringir el acceso al panel de administración solo a redes internas confiables. Después de la actualización, confirme la mitigación verificando que el endpoint objects/pluginSwitch.json.php ahora requiere un token CSRF válido para modificar la configuración de los plugins.
Actualice AVideo a una versión posterior a la 26.0, donde se haya implementado la validación del token CSRF en el punto final objects/pluginSwitch.json.php. Esto evitará que un atacante desactive plugins de seguridad críticos mediante ataques CSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34613 es una vulnerabilidad CSRF en wwbn/avideo que permite a atacantes deshabilitar plugins de seguridad críticos. Afecta a versiones 26.0 y anteriores.
Si está utilizando wwbn/avideo en la versión 26.0 o anterior, y sus cookies de sesión tienen SameSite=None, es vulnerable a esta vulnerabilidad.
Actualice wwbn/avideo a la versión corregida. Si la actualización no es posible, configure SameSite=Strict en las cookies de sesión y considere implementar un WAF.
No se ha confirmado la explotación activa, pero el riesgo es potencial debido a la naturaleza de CSRF y la facilidad de automatización.
Consulte la documentación oficial de wwbn/avideo para obtener la última información sobre esta vulnerabilidad y las actualizaciones de seguridad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.