Plateforme
php
Composant
avideo
Corrigé dans
29.0.1
Une vulnérabilité de type SSRF (Server-Side Request Forgery) a été découverte dans AVideo, affectant les versions de 1.0.0 à 29.0 inclus. Cette faille permet à un attaquant d'exploiter une courte-circuit dans la fonction isSSRFSafeURL(), contournant les protections SSRF et accédant potentiellement à des ports non standard sur le serveur. La mise à jour vers la version 29.1 corrige cette vulnérabilité.
L'exploitation de cette vulnérabilité SSRF dans AVideo permet à un attaquant de lancer des requêtes vers des ressources internes au serveur AVideo, contournant les restrictions de sécurité. L'attaquant peut ainsi accéder à des ports non standard sur le serveur, ce qui pourrait révéler des services cachés ou des informations sensibles. De plus, la réponse de ces requêtes est stockée dans un chemin accessible via le web, permettant une exfiltration complète des données. Cette faille présente un risque élevé d'atteinte à la confidentialité et à l'intégrité des données.
Cette vulnérabilité a été publiée le 2026-04-21. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable. Il est conseillé de surveiller les sources d'informations sur les vulnérabilités (NVD, CISA) pour tout développement ultérieur.
Organizations using AVideo in production environments, particularly those with sensitive data or internal services accessible via the web server, are at risk. Shared hosting environments where multiple users share the same AVideo instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability to access data belonging to other users.
• php: Examine the objects/functions.php file for the isSSRFSafeURL() function and its shortcircuit logic. Look for modifications or unexpected behavior related to hostname comparisons.
// Example: Check for the vulnerable logic in isSSRFSafeURL()
if (strpos($_SERVER['HTTP_HOST'], $webSiteRootURL) !== false) {
// Vulnerable shortcircuit
}• generic web: Monitor access logs for requests to the AVideo server using non-standard ports (e.g., 8080, 8443) or unusual hostnames.
• generic web: Check response headers for unexpected content or indicators of data exfiltration.
• generic web: Use curl to test SSRF bypass by attempting to access internal resources using the site's hostname and a non-standard port.
curl -v --connect-timeout 5 http://your-avideo-site.com:8080/internal/resourcedisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour AVideo vers la version 29.1 ou supérieure, qui corrige la vulnérabilité. En attendant la mise à jour, il est possible de renforcer la configuration du pare-feu pour limiter l'accès aux ports non standard sur le serveur AVideo. Il est également recommandé de surveiller attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Une analyse des règles WAF (Web Application Firewall) peut également aider à bloquer les requêtes malveillantes.
Mettez à jour AVideo à la version 29.1 ou supérieure pour atténuer la vulnérabilité SSRF. Cette mise à jour corrige le défaut dans la fonction `isSSRFSafeURL()` qui permettait de contourner les protections SSRF en utilisant le même nom d'hôte du site web avec un port différent.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-41060 is a Server-Side Request Forgery (SSRF) vulnerability in AVideo versions 1.0.0 through 29.0, allowing attackers to bypass SSRF protections and potentially exfiltrate data.
You are affected if you are running AVideo versions 1.0.0 through 29.0. Upgrade to version 29.1 or later to mitigate the vulnerability.
Upgrade AVideo to version 29.1 or later. As a temporary workaround, implement a WAF rule to block requests with non-standard ports or suspicious hostnames.
While no active exploitation has been confirmed, the SSRF nature of the vulnerability suggests a potential for exploitation once a public proof-of-concept is available.
Refer to the official AVideo security advisory for detailed information and updates regarding CVE-2026-41060.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.