Plataforma
php
Componente
avideo
Corregido en
29.0.1
La vulnerabilidad CVE-2026-40926 es una falla de Cross-Site Request Forgery (CSRF) presente en AVideo versiones 1.0.0 hasta la 29.0. Esta falla permite a un atacante, mediante la manipulación de solicitudes HTTP, ejecutar acciones administrativas sin la autorización adecuada. La vulnerabilidad afecta a usuarios con privilegios de administrador y puede resultar en la modificación de datos y la ejecución de scripts de base de datos. Se recomienda actualizar a la versión 29.1 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para realizar acciones administrativas en AVideo sin la necesidad de credenciales válidas. Específicamente, los endpoints objects/categoryAddNew.json.php, objects/categoryDelete.json.php y objects/pluginRunUpdateScript.json.php son susceptibles a ataques CSRF. Esto podría permitir a un atacante crear, eliminar o modificar categorías, así como ejecutar scripts de base de datos arbitrarios, comprometiendo la integridad y confidencialidad de los datos almacenados en el sistema. El impacto potencial es significativo, ya que un atacante podría tomar el control de la administración del sitio web.
La vulnerabilidad fue publicada el 2026-04-21. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de CSRF hace que sea relativamente fácil de explotar una vez que se conoce la vulnerabilidad. La falta de validación CSRF en endpoints administrativos críticos aumenta la probabilidad de explotación. No se ha añadido a KEV a la fecha.
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-40926 es actualizar AVideo a la versión 29.1, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Una opción es implementar una WAF (Web Application Firewall) que pueda detectar y bloquear solicitudes CSRF. Otra opción es agregar validación CSRF a los endpoints vulnerables, asegurándose de que se valide el token CSRF en cada solicitud. Además, se recomienda revisar y fortalecer las políticas de seguridad del sitio web para prevenir ataques CSRF en el futuro. Después de la actualización, confirme la corrección revisando los logs del servidor para detectar intentos de explotación.
Actualice el plugin AVideo a la versión 29.1 o superior para mitigar la vulnerabilidad de CSRF. Esta actualización implementa las verificaciones necesarias para proteger contra la creación, actualización o eliminación no autorizada de categorías y la ejecución de scripts de actualización de plugins.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40926 is a Cross-Site Request Forgery (CSRF) vulnerability affecting AVideo versions 1.0.0 through 29.0. It allows attackers to perform actions as an administrator without their consent via crafted requests.
If you are running AVideo version 1.0.0 through 29.0, you are potentially affected by this vulnerability. Upgrade to version 29.1 or later to mitigate the risk.
The recommended fix is to upgrade AVideo to version 29.1 or later. As a temporary workaround, implement a WAF rule to block requests to the vulnerable endpoints without a valid CSRF token.
While no public Proof-of-Concept (PoC) code has been identified, the vulnerability's nature makes it a potential target for exploitation. Continuous monitoring is recommended.
Refer to the AVideo official website and security advisories for the most up-to-date information regarding CVE-2026-40926 and the recommended remediation steps.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.