Plataforma
php
Componente
avideo
Corregido en
26.0.1
La vulnerabilidad CVE-2026-35181 es una falla de Cross-Site Request Forgery (CSRF) presente en AVideo, una plataforma de video de código abierto desarrollada por WWBN. Esta vulnerabilidad permite a un atacante modificar la configuración de la apariencia del reproductor de video en toda la plataforma. Afecta a las versiones 0.0.0 hasta la 26.0, y se ha solucionado en la versión 26.1.
Un atacante puede explotar esta vulnerabilidad para modificar la apariencia del reproductor de video en AVideo, potencialmente inyectando código malicioso o alterando la experiencia del usuario. La falta de validación de tokens CSRF en el endpoint admin/playerUpdate.json.php combinado con cookies SameSite=None facilita la ejecución de solicitudes POST desde un origen diferente. La exclusión de la tabla plugins de la verificación de seguridad del ORM elimina una capa adicional de protección, aumentando el riesgo. Esta manipulación podría usarse para desinformar a los usuarios, robar credenciales o incluso ejecutar código arbitrario en el contexto del usuario autenticado.
La vulnerabilidad CVE-2026-35181 fue publicada el 6 de abril de 2026. No se ha reportado explotación activa en entornos reales hasta el momento. La probabilidad de explotación se considera media debido a la naturaleza de la vulnerabilidad CSRF y la disponibilidad de herramientas para automatizar ataques. Se recomienda monitorear activamente los sistemas AVideo para detectar posibles intentos de explotación.
Organizations and individuals using AVideo for hosting and streaming video content are at risk. Specifically, deployments with weak cookie security settings (SameSite=None) are more vulnerable. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk, as an attacker could potentially exploit the vulnerability on behalf of another user.
• php: Examine web server access logs for suspicious POST requests to /admin/playerUpdate.json.php originating from unexpected IP addresses.
grep -i 'playerUpdate.json.php' /var/log/apache2/access.log | grep -i 'POST' | grep -v '127.0.0.1'• php: Review AVideo configuration files for any instances of ignoreTableSecurityCheck() that might be disabling security checks.
grep -r ignoreTableSecurityCheck /var/www/avideo/• generic web: Monitor for unusual changes in the video player's appearance across the platform, which could indicate a successful CSRF attack.
disclosure
Estado del Exploit
EPSS
0.02% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-35181 es actualizar AVideo a la versión 26.1 o superior, que incluye la corrección de la vulnerabilidad CSRF. Si la actualización no es inmediatamente posible, considere implementar medidas temporales como la restricción del acceso al endpoint admin/playerUpdate.json.php a través de un firewall de aplicaciones web (WAF) o un proxy inverso. Además, asegúrese de que las cookies estén configuradas con SameSite=Strict o SameSite=Lax para mitigar el riesgo de ataques CSRF cross-origin. Después de la actualización, verifique la integridad de la configuración del reproductor de video para confirmar que la vulnerabilidad ha sido resuelta.
Actualice AVideo a la versión 26.1 o superior para mitigar la vulnerabilidad de CSRF. Esta actualización corrige la falta de validación de tokens CSRF en el punto final de configuración de la apariencia del reproductor, previniendo modificaciones no autorizadas de la apariencia del reproductor de video.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-35181 is a Cross-Site Request Forgery (CSRF) vulnerability affecting AVideo versions 0.0.0 through 26.0, allowing attackers to modify the video player's appearance.
If you are running AVideo version 0.0.0 through 26.0, you are potentially affected by this vulnerability. Upgrade to version 26.1 or later to mitigate the risk.
The recommended fix is to upgrade AVideo to version 26.1 or later. As a temporary workaround, implement a WAF rule to block unauthorized requests to /admin/playerUpdate.json.php.
There are currently no confirmed reports of active exploitation, but the vulnerability's simplicity suggests it could be exploited.
Refer to the AVideo project's official website and security advisories for the latest information and updates regarding CVE-2026-35181.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.