Plateforme
php
Composant
avideo
Corrigé dans
26.0.1
Une vulnérabilité de type CSRF (Cross-Site Request Forgery) a été découverte dans AVideo, une plateforme vidéo open source. Cette faille, présente dans les versions 26.0 et antérieures, affecte le point de terminaison de configuration de la peau du lecteur (admin/playerUpdate.json.php). L'exploitation réussie permet à un attaquant de modifier l'apparence du lecteur vidéo sur l'ensemble de la plateforme, et une correction est disponible dans la version 26.1.
L'exploitation de cette vulnérabilité CSRF permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié. Plus précisément, l'attaquant peut modifier la configuration de la peau du lecteur vidéo, ce qui peut entraîner l'affichage de contenu malveillant, la redirection des utilisateurs vers des sites web malveillants ou la modification de l'expérience utilisateur globale. L'exclusion de la table des plugins de la vérification de sécurité de l'ORM, combinée à l'utilisation de cookies SameSite=None, aggrave le risque en permettant des requêtes POST inter-domaines. Cette vulnérabilité pourrait être exploitée dans des attaques de phishing ciblées ou via des sites web compromis, impactant potentiellement tous les utilisateurs de la plateforme AVideo.
Cette vulnérabilité a été rendue publique le 6 avril 2026. Il n'y a pas d'indications d'exploitation active à ce jour, ni de PoC publics largement diffusés. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité d'une authentification préalable et de la complexité potentielle de l'exploitation.
Organizations and individuals using AVideo for hosting and streaming video content are at risk. Specifically, deployments with weak cookie security settings (SameSite=None) are more vulnerable. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk, as an attacker could potentially exploit the vulnerability on behalf of another user.
• php: Examine web server access logs for suspicious POST requests to /admin/playerUpdate.json.php originating from unexpected IP addresses.
grep -i 'playerUpdate.json.php' /var/log/apache2/access.log | grep -i 'POST' | grep -v '127.0.0.1'• php: Review AVideo configuration files for any instances of ignoreTableSecurityCheck() that might be disabling security checks.
grep -r ignoreTableSecurityCheck /var/www/avideo/• generic web: Monitor for unusual changes in the video player's appearance across the platform, which could indicate a successful CSRF attack.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à niveau AVideo vers la version 26.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à niveau, il est possible de renforcer la sécurité en mettant en œuvre des mesures de protection CSRF supplémentaires. Cela peut inclure la validation stricte des tokens CSRF pour toutes les requêtes modifiant la configuration du lecteur vidéo. L'utilisation d'un Web Application Firewall (WAF) avec des règles spécifiques pour bloquer les requêtes CSRF peut également aider à atténuer le risque. Vérifiez après la mise à niveau que les tokens CSRF sont correctement générés et validés pour toutes les requêtes sensibles.
Mettez à jour AVideo à la version 26.1 ou supérieure pour atténuer la vulnérabilité CSRF. Cette mise à jour corrige le manque de validation des tokens CSRF au point de terminaison de configuration de l'apparence du lecteur, empêchant ainsi des modifications non autorisées de l'apparence du lecteur vidéo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35181 is a Cross-Site Request Forgery (CSRF) vulnerability affecting AVideo versions 0.0.0 through 26.0, allowing attackers to modify the video player's appearance.
If you are running AVideo version 0.0.0 through 26.0, you are potentially affected by this vulnerability. Upgrade to version 26.1 or later to mitigate the risk.
The recommended fix is to upgrade AVideo to version 26.1 or later. As a temporary workaround, implement a WAF rule to block unauthorized requests to /admin/playerUpdate.json.php.
There are currently no confirmed reports of active exploitation, but the vulnerability's simplicity suggests it could be exploited.
Refer to the AVideo project's official website and security advisories for the latest information and updates regarding CVE-2026-35181.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.