Plateforme
other
Composant
pilos
Corrigé dans
4.10.1
Une vulnérabilité de type Cross-Site Request Forgery (CSRF) a été découverte dans PILOS (Platform for Interactive Live-Online Seminars), une interface utilisateur pour BigBlueButton. Cette faille, présente dans les versions antérieures à 4.10.0, affecte une API administrative permettant de terminer toutes les conférences vidéo actives sur un serveur. Elle permet à un attaquant d'initier cette action destructrice via une requête HTTP GET, bien que des contrôles d'autorisation soient en place.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de provoquer la terminaison de toutes les conférences vidéo actives sur un serveur PILOS. Cela peut entraîner une perte de données pour les participants et les organisateurs, ainsi qu'une interruption de service pour les utilisateurs. Bien que l'API nécessite une autorisation, l'utilisation d'une requête GET rend l'action vulnérable à l'exécution implicite via du contenu du même site, comme des ressources intégrées dans l'application. L'impact est limité à la capacité de l'attaquant à contrôler le navigateur d'un utilisateur authentifié pour exécuter la requête.
Cette vulnérabilité a été rendue publique le 12 janvier 2026. Bien qu'il n'y ait pas de preuve d'exploitation active à ce jour, la nature CSRF de la vulnérabilité la rend potentiellement exploitable. Aucun Proof of Concept (PoC) public n'a été identifié à ce jour. La vulnérabilité n'est pas répertoriée sur le KEV de CISA.
Organizations utilizing PILOS as a frontend for BigBlueButton, particularly those with legacy configurations or shared hosting environments, are at risk. Educational institutions, online training providers, and any entity relying on BigBlueButton for live online seminars should prioritize upgrading to the patched version.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour PILOS vers la version 4.10.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant l'accès à l'API administrative et en mettant en œuvre des politiques de sécurité de contenu (CSP) strictes pour empêcher l'exécution de scripts non autorisés. Il est également recommandé de surveiller les journaux d'accès pour détecter des requêtes suspectes vers l'API de terminaison de conférence.
Mettez à jour PILOS à la version 4.10.0 ou supérieure. Cette version corrige la vulnérabilité CSRF qui permet la terminaison non intentionnelle de conférences vidéo. La mise à jour empêche un administrateur authentifié, en consultant du contenu malveillant, d'activer accidentellement la terminaison de toutes les conférences vidéo actives.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22800 is a Cross-Site Request Forgery (CSRF) vulnerability in PILOS versions up to 4.10.0, allowing attackers to potentially terminate all active video conferences on a server via a GET request.
You are affected if you are using PILOS versions 4.10.0 or earlier. Upgrade to 4.10.0 to mitigate the risk.
Upgrade PILOS to version 4.10.0 or later. As a temporary workaround, implement strict Content Security Policy (CSP) headers.
There are currently no reports of active exploitation, but the vulnerability remains a potential risk.
Refer to the PILOS project's official security advisories for the most up-to-date information and guidance.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.