Plataforma
php
Componente
avideo
Corregido en
29.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en AVideo, afectando versiones desde 1.0.0 hasta la 29.0. Esta falla permite a atacantes realizar acciones en nombre de un usuario autenticado sin su consentimiento. El impacto principal es la manipulación de datos de sesión, como la modificación de likes/dislikes, la publicación de comentarios y la eliminación de activos, todo ello bajo el control del atacante. La vulnerabilidad fue publicada el 21 de abril de 2026 y se ha solucionado en la versión 29.1.
La vulnerabilidad CSRF en AVideo permite a un atacante, mediante la creación de una página maliciosa, engañar a un usuario autenticado para que realice acciones no deseadas. Un usuario que visite esta página podría ver su perfil manipulado sin su conocimiento. Específicamente, el atacante puede modificar los likes/dislikes en comentarios, publicar comentarios falsos en videos utilizando la identidad del usuario, e incluso eliminar activos si el usuario tiene los permisos necesarios. Esta vulnerabilidad es particularmente preocupante porque no requiere interacción directa del usuario más allá de visitar la página maliciosa, lo que facilita su explotación a gran escala. La falta de protección CSRF en las peticiones JSON a objects/ expone a los usuarios a ataques silenciosos y potencialmente dañinos.
La vulnerabilidad CVE-2026-40928 fue publicada el 21 de abril de 2026. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. La probabilidad de explotación se considera media, dado que es una vulnerabilidad CSRF, que aunque requiere un usuario autenticado, es relativamente fácil de explotar. No se han reportado públicamente campañas de explotación activas, pero la disponibilidad de la información sobre la vulnerabilidad podría facilitar su explotación por parte de actores maliciosos. Se recomienda monitorear los sistemas AVideo para detectar cualquier actividad sospechosa.
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-40928 es actualizar AVideo a la versión 29.1 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales como la configuración de un Web Application Firewall (WAF) para bloquear peticiones sospechosas. Además, se pueden implementar reglas de proxy para filtrar tráfico malicioso. Es crucial revisar y fortalecer las políticas de seguridad de la aplicación, asegurándose de que todas las peticiones sensibles requieran una validación adecuada, como tokens CSRF o verificación de origen. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs de la aplicación en busca de intentos de explotación CSRF.
Actualice el plugin AVideo a la versión 29.1 o superior para mitigar la vulnerabilidad. Esta actualización implementa medidas de seguridad para prevenir la manipulación de comentarios, votos y la eliminación de activos a través de solicitudes CSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40928 is a Cross-Site Request Forgery (CSRF) vulnerability in AVideo versions 1.0.0 through 29.0, allowing attackers to perform actions as logged-in users without their consent.
If you are using AVideo versions 1.0.0 through 29.0, you are potentially affected by this vulnerability. Upgrade to version 29.1 or later to mitigate the risk.
The recommended fix is to upgrade AVideo to version 29.1 or later. As a temporary workaround, implement CSP headers and referer checks.
No public exploitation campaigns have been reported as of this writing, but the vulnerability's ease of exploitation suggests a potential risk.
Refer to the official AVideo security advisory for detailed information and updates regarding CVE-2026-40928.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.