Plataforma
php
Componente
avideo
Corregido en
29.0.1
El CVE-2026-40929 describe una vulnerabilidad de Cross-Site Request Forgery (CSRF) en AVideo, afectando versiones desde 1.0.0 hasta la 29.0. Esta falla permite a atacantes, mediante solicitudes falsificadas, eliminar comentarios en la plataforma. La vulnerabilidad reside en el endpoint objects/commentDelete.json.php que carece de validación CSRF. Una actualización a la versión 29.1 soluciona este problema.
Un atacante puede explotar esta vulnerabilidad para eliminar comentarios de la plataforma AVideo sin la necesidad de autenticación directa. Dado que AVideo configura session.cookie_samesite=None para permitir la incrustación de reproductores desde otros dominios, cualquier solicitud maliciosa proveniente de un sitio web controlado por el atacante se ejecutará con los privilegios de la víctima. Esto implica que un usuario autenticado con permisos para eliminar comentarios (moderadores, propietarios de videos, autores de comentarios) puede ser víctima de esta explotación. El impacto principal es la pérdida de datos (comentarios) y la posible manipulación de la información mostrada en la plataforma. La ausencia de validación CSRF facilita la ejecución de ataques sin necesidad de interacción directa del usuario, lo que aumenta el riesgo.
La vulnerabilidad fue publicada el 2026-04-21. No se ha reportado su inclusión en el KEV de CISA. No se conocen públicamente Proof of Concepts (PoCs) para esta vulnerabilidad, pero la naturaleza de CSRF la hace relativamente fácil de explotar una vez identificada. La configuración de session.cookie_samesite=None aumenta la probabilidad de explotación, ya que facilita las solicitudes cross-origin.
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-40929 es actualizar AVideo a la versión 29.1 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización a la versión 29.1 causa problemas de compatibilidad, se recomienda evaluar la posibilidad de implementar una solución temporal mediante la adición de validación CSRF al endpoint objects/commentDelete.json.php. Esto podría implicar la verificación del token CSRF en la solicitud o la validación del encabezado Origin o Referer. Implementar un Web Application Firewall (WAF) con reglas que bloqueen solicitudes POST a objects/commentDelete.json.php sin un token CSRF válido también puede proporcionar una capa adicional de protección. Después de la actualización, confirme la corrección revisando los logs del servidor en busca de intentos de eliminación de comentarios sin la validación adecuada.
Actualice AVideo a la versión 29.1 o superior para mitigar la vulnerabilidad. La actualización corrige la falta de validación CSRF en el endpoint `objects/commentDelete.json.php`, previniendo la eliminación masiva de comentarios por parte de atacantes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40929 is a Cross-Site Request Forgery (CSRF) vulnerability affecting AVideo versions 1.0.0 through 29.0. It allows attackers to delete comments without proper CSRF protection, potentially disrupting user interactions and defacing websites.
If you are running AVideo version 1.0.0 through 29.0, you are potentially affected by this vulnerability. Check your AVideo version and upgrade as soon as possible.
The recommended fix is to upgrade AVideo to version 29.1 or later. This version includes the necessary CSRF protection to mitigate the vulnerability.
As of the current assessment, there are no publicly known active campaigns exploiting CVE-2026-40929. However, it's crucial to apply the fix promptly to prevent potential future exploitation.
Refer to the official AVideo security advisory for detailed information and updates regarding CVE-2026-40929. Check the AVideo website or relevant security mailing lists for the latest announcements.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.