Plateforme
php
Composant
avideo
Corrigé dans
26.0.1
Une vulnérabilité de type CSRF (Cross-Site Request Forgery) a été découverte dans AVideo, une plateforme vidéo open source. Cette faille, présente dans les versions 26.0 et antérieures, permet à un attaquant de modifier le logo de la plateforme. La vulnérabilité exploite un manque de validation de jeton CSRF dans le point de terminaison de personnalisation du site, permettant l'écriture de fichiers logo malveillants sur le disque. La version 26.1 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de remplacer le logo de la plateforme AVideo par une image malveillante. Bien que l'impact direct puisse sembler limité, cela peut être utilisé pour du phishing, de la désinformation ou pour masquer d'autres attaques. L'attaquant peut également utiliser cette modification pour injecter du code JavaScript malveillant dans le logo, compromettant ainsi les utilisateurs qui accèdent à la plateforme. La combinaison avec la politique SameSite=None aggrave le risque en permettant des requêtes POST inter-origines.
Cette vulnérabilité a été rendue publique le 6 avril 2026. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une interaction utilisateur pour déclencher l'attaque CSRF. Aucun PoC public n'est connu à ce jour.
Organizations and individuals using WWBN AVideo versions 1.0.0 through 26.0 are at risk, particularly those with publicly accessible admin interfaces or those who have not implemented robust access controls to the admin panel. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk.
• php: Examine access logs for POST requests to /admin/customizesettingsnativeUpdate.json.php originating from unexpected sources or without proper CSRF tokens.
grep -i 'POST /admin/customize_settings_nativeUpdate.json.php' access.log | grep -i 'Referer:'disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à niveau AVideo vers la version 26.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à niveau, il est possible de renforcer la sécurité en limitant l'accès au point de terminaison de personnalisation du site. L'implémentation de règles WAF (Web Application Firewall) pour bloquer les requêtes POST inter-origines vers ce point de terminaison peut également aider à atténuer le risque. Il est également recommandé de vérifier régulièrement les fichiers de logo pour détecter toute modification non autorisée.
Mettez à jour AVideo à la version 26.1 ou supérieure pour atténuer la vulnérabilité CSRF. Cette mise à jour implémente la validation des jetons CSRF sur le point de terminaison de personnalisation du site, empêchant le remplacement du logo par du contenu contrôlé par l'attaquant.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35180 décrit une vulnérabilité CSRF (Cross-Site Request Forgery) dans AVideo, permettant à un attaquant de modifier le logo de la plateforme. La vulnérabilité affecte les versions 1.0.0–<= 26.0.
Oui, si vous utilisez AVideo et que votre version est antérieure à 26.1, vous êtes affecté par cette vulnérabilité CSRF. La mise à niveau est essentielle.
La solution est de mettre à niveau AVideo vers la version 26.1 ou supérieure. En attendant, renforcez la sécurité avec des règles WAF et des restrictions d'accès.
À ce jour, il n'y a aucune indication d'exploitation active de CVE-2026-35180, mais la vulnérabilité reste présente dans les versions non corrigées.
Consultez le site web d'AVideo ou leur dépôt GitHub pour l'avis de sécurité officiel concernant CVE-2026-35180.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.