Plataforma
php
Componente
avideo
Corregido en
29.0.1
La vulnerabilidad CVE-2026-40925 es una falla de Cross-Site Request Forgery (CSRF) presente en AVideo versiones 1.0.0 hasta 29.0. Esta falla permite a un atacante, mediante la manipulación de solicitudes HTTP, modificar la configuración global del sitio web, comprometiendo la seguridad de los datos y la integridad del sistema. La vulnerabilidad ha sido publicada el 21 de abril de 2026 y se recomienda actualizar a la versión 29.1 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para modificar la configuración del sitio web de AVideo sin la autorización del administrador. Esto incluye la capacidad de cambiar la URL del codificador, las credenciales SMTP y otros parámetros críticos. La modificación de las credenciales SMTP, por ejemplo, podría permitir al atacante enviar correos electrónicos fraudulentos en nombre del sitio web, dañando su reputación y comprometiendo la confianza de los usuarios. La configuración incorrecta del codificador podría llevar a la ejecución de código malicioso o la denegación de servicio. Debido a que AVideo utiliza session.cookie_samesite=None para permitir la incrustación de iframes entre dominios, la explotación es particularmente sencilla, ya que el navegador enviará automáticamente las solicitudes POST desde sitios controlados por el atacante.
La vulnerabilidad CVE-2026-40925 ha sido publicada públicamente el 21 de abril de 2026. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se conocen públicamente exploits activos, pero la naturaleza de la vulnerabilidad CSRF la hace susceptible a ataques automatizados. La falta de validación de tokens y la configuración de session.cookie_samesite=None facilitan la explotación, lo que aumenta la probabilidad de que sea explotada en el futuro.
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar AVideo a la versión 29.1 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Una opción es agregar una validación de tokens CSRF a la ruta /updateConfig y objects/configurationUpdate.json.php, asegurando que solo las solicitudes legítimas sean procesadas. Además, se debe verificar el encabezado Origin o Referer para garantizar que la solicitud provenga del mismo dominio. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear solicitudes CSRF también puede ayudar a mitigar el riesgo. Después de la actualización, confirmar la mitigación revisando los logs del servidor en busca de intentos de modificación de configuración no autorizados.
Actualice AVideo a la versión 29.1 o superior para mitigar la vulnerabilidad. Esta actualización implementa una validación adecuada de las solicitudes POST, previniendo la modificación no autorizada de la configuración del sitio a través de ataques CSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40925 is a Cross-Site Request Forgery (CSRF) vulnerability in AVideo versions 1.0.0 through 29.0. It allows attackers to modify site configurations via a POST request, potentially compromising the entire AVideo instance.
You are affected if you are running AVideo versions 1.0.0 through 29.0 and have not yet upgraded. The vulnerability is easily exploitable due to the lack of CSRF protection on the configuration update endpoint.
Upgrade AVideo to version 29.1 or later. As a temporary workaround, restrict access to the /updateConfig endpoint using a WAF or proxy to enforce Origin header validation.
As of the publication date, there are no publicly known active campaigns exploiting CVE-2026-40925. However, the vulnerability's ease of exploitation warrants immediate attention and remediation.
Refer to the AVideo security advisory published on 2026-04-21 for detailed information and remediation steps. Check the AVideo website or their official communication channels for the latest updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.