Plataforma
php
Componente
avideo
Corregido en
26.0.1
La vulnerabilidad CVE-2026-35180 es una falla de Cross-Site Request Forgery (CSRF) presente en AVideo, una plataforma de video de código abierto. Esta falla permite a un atacante modificar el logo de la plataforma, comprometiendo la integridad visual del sitio. Afecta a las versiones 1.0.0 hasta la 26.0, siendo resuelta en la versión 26.1.
Un atacante puede explotar esta vulnerabilidad para modificar el logo de la plataforma AVideo a través de una solicitud POST maliciosa. Al aprovechar la falta de validación de tokens CSRF en el endpoint de personalización, el atacante puede subir un archivo de logo controlado por él, el cual se guarda en el disco antes de que se ejecuten las comprobaciones de seguridad del ORM. La combinación con la política SameSite=None para cookies facilita la ejecución de esta modificación desde un origen diferente, permitiendo la manipulación de la imagen de la plataforma. Esto puede ser utilizado para suplantar la identidad de la plataforma o para distribuir contenido malicioso a los usuarios.
Esta vulnerabilidad fue publicada el 6 de abril de 2026. No se ha reportado su explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. La severidad se evalúa como MEDIA (CVSS 4.3) debido al impacto en la integridad de la plataforma, aunque la explotación requiere interacción del usuario.
Organizations and individuals using WWBN AVideo versions 1.0.0 through 26.0 are at risk, particularly those with publicly accessible admin interfaces or those who have not implemented robust access controls to the admin panel. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk.
• php: Examine access logs for POST requests to /admin/customizesettingsnativeUpdate.json.php originating from unexpected sources or without proper CSRF tokens.
grep -i 'POST /admin/customize_settings_nativeUpdate.json.php' access.log | grep -i 'Referer:'disclosure
Estado del Exploit
EPSS
0.02% (3% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar AVideo a la versión 26.1, que corrige la vulnerabilidad. Mientras tanto, se pueden implementar mitigaciones temporales. Implementar una política de SameSite=Strict para las cookies puede reducir el riesgo de ataques CSRF. Además, se recomienda implementar un Web Application Firewall (WAF) con reglas que bloqueen solicitudes POST sospechosas al endpoint /admin/customizesettingsnativeUpdate.json.php. Monitorear los logs del servidor en busca de intentos de modificación del logo puede ayudar a detectar ataques en curso. Verifique después de la actualización que el logo de la plataforma se muestra correctamente y que no ha sido modificado.
Actualice AVideo a la versión 26.1 o superior para mitigar la vulnerabilidad de CSRF. Esta actualización implementa la validación de tokens CSRF en el punto final de personalización del sitio, previniendo la sobrescritura del logo con contenido controlado por el atacante.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-35180 es una vulnerabilidad CSRF en AVideo que permite a atacantes modificar el logo de la plataforma. Afecta a versiones 1.0.0 hasta 26.0 y tiene una severidad MEDIA (CVSS 4.3).
Si está utilizando AVideo en la versión 1.0.0 hasta la 26.0, es vulnerable a esta falla CSRF. Actualice a la versión 26.1 para mitigar el riesgo.
La solución es actualizar AVideo a la versión 26.1. Mientras tanto, implemente mitigaciones como SameSite=Strict y un WAF.
Hasta el momento, no se ha reportado explotación activa de esta vulnerabilidad en campañas conocidas, pero es importante aplicar la solución para prevenir futuros ataques.
Consulte el sitio web oficial de AVideo o su repositorio de GitHub para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.