Plateforme
php
Composant
wwbn/avideo
Corrigé dans
26.0.1
26.0.1
La vulnérabilité CVE-2026-34738 affecte le composant wwbn/avideo, plus précisément le pipeline de traitement vidéo AVideo. Elle permet à tout utilisateur disposant des permissions d'uploader de modifier le statut d'une vidéo, contournant ainsi les processus de modération et de validation contrôlés par l'administrateur. Cette faille impacte les versions d'avideo inférieures ou égales à 26.0 et une correction est disponible.
La vulnérabilité CVE-2026-34738 dans AVideo permet à n'importe quel utilisateur disposant des autorisations d'upload de définir directement le statut d'une vidéo sur 'actif' (a), contournant les flux de travail de modération et de brouillon contrôlés par les administrateurs. Cela est dû au fait que la méthode setStatus() valide le code de statut par rapport à une liste prédéfinie, mais ne vérifie pas si l'appelant dispose de l'autorisation de définir ce statut particulier. Un attaquant pourrait exploiter cette faille pour publier du contenu inapproprié ou non approuvé, ce qui aurait un impact négatif sur la qualité et la sécurité de la plateforme. L'absence de correctif disponible aggrave le risque, car la vulnérabilité reste ouverte à l'exploitation.
Un attaquant disposant d'autorisations d'upload dans AVideo peut exploiter cette vulnérabilité en envoyant une requête overrideStatus avec la valeur 'a' (actif). En raison d'une validation insuffisante des autorisations, la requête sera traitée sans autorisation appropriée, ce qui permettra à l'attaquant de publier des vidéos directement, en contournant le processus de modération. La facilité d'exploitation réside dans la simplicité de la requête et le manque de contrôles d'accès adéquats. L'exploitation pourrait être automatisée, ce qui permettrait la publication massive de contenu indésirable.
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
Étant donné qu'aucun correctif officiel n'est fourni, l'atténuation immédiate se concentre sur la mise en œuvre de contrôles d'accès plus stricts dans la méthode setStatus(). Cela implique de vérifier l'identité et les autorisations de l'utilisateur avant d'autoriser toute modification de statut. Il est recommandé d'auditer minutieusement le code relatif à la gestion des statuts vidéo afin d'identifier et de corriger toute autre éventuelle défaillance d'autorisation. De plus, la mise en œuvre d'un système d'enregistrement détaillé des modifications de statut peut aider à détecter et à répondre aux tentatives d'exploitation. Envisagez de désactiver temporairement la fonctionnalité de modification de statut jusqu'à ce qu'une solution appropriée soit mise en œuvre.
Actualizar AVideo a una versión posterior a la 26.0, una vez que se publique un parche. Como medida temporal, revisar y moderar manualmente todos los videos subidos para asegurar que el contenido sea apropiado antes de publicarlo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un identifiant unique pour cette vulnérabilité spécifique dans AVideo.
Cela pourrait permettre la publication de contenu inapproprié ou non approuvé, ce qui aurait un impact sur la qualité de la plateforme.
Actuellement, aucun correctif officiel n'est fourni par AVideo. Des mesures d'atténuation sont recommandées.
Mettez en œuvre des contrôles d'accès plus stricts et auditez le code relatif à la gestion des statuts vidéo.
Surveillez les canaux de communication d'AVideo et les bases de données de vulnérabilités telles que NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.