मुफ्त स्कैन करें
MEDIUMCVE-2026-35181CVSS 4.3

WWBN AVideo प्रभावित है Player Skin Configuration के माध्यम से CSRF से admin/playerUpdate.json.php पर

प्लेटफ़ॉर्म

php

घटक

avideo

में ठीक किया गया

26.0.1

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-35181 AVideo वीडियो प्लेटफ़ॉर्म में एक क्रॉस-साइट रिक्वेस्ट फोर्जिंग (CSRF) भेद्यता है। यह भेद्यता हमलावरों को खिलाड़ी त्वचा कॉन्फ़िगरेशन को बदलने की अनुमति देती है, जिससे प्लेटफ़ॉर्म की उपस्थिति प्रभावित हो सकती है। यह भेद्यता AVideo के संस्करण 0.0.0 से 26.0 तक के संस्करणों को प्रभावित करती है, और संस्करण 26.1 में इसे ठीक किया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को AVideo प्लेटफ़ॉर्म पर वीडियो प्लेयर की उपस्थिति को अनधिकृत रूप से बदलने की अनुमति देती है। हमलावर खिलाड़ी त्वचा कॉन्फ़िगरेशन को संशोधित करने के लिए CSRF का उपयोग कर सकता है, जिससे प्लेटफ़ॉर्म की ब्रांडिंग और उपयोगकर्ता अनुभव प्रभावित हो सकता है। चूंकि ignoreTableSecurityCheck() फ़ंक्शन का उपयोग ORM सुरक्षा जांच को बायपास करने के लिए किया जाता है, इसलिए यह भेद्यता प्लेटफ़ॉर्म के सभी उपयोगकर्ताओं को प्रभावित कर सकती है। SameSite=None कुकीज़ के साथ, एक क्रॉस-ओरिजिन POST अनुरोध खिलाड़ी की उपस्थिति को बदल सकता है, जिससे संभावित रूप से प्लेटफ़ॉर्म की सुरक्षा और विश्वसनीयता से समझौता हो सकता है।

शोषण संदर्भ

CVE-2026-35181 को 2026-04-06 को सार्वजनिक रूप से खुलासा किया गया था। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन CSRF भेद्यताओं का शोषण करने के लिए ज्ञात तकनीकों का उपयोग किया जा सकता है। CISA KEV सूची में अभी तक शामिल नहीं है। भेद्यता की गंभीरता मध्यम है, लेकिन CSRF हमलों की संभावना को देखते हुए, इसे गंभीरता से लिया जाना चाहिए।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations and individuals using AVideo for hosting and streaming video content are at risk. Specifically, deployments with weak cookie security settings (SameSite=None) are more vulnerable. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk, as an attacker could potentially exploit the vulnerability on behalf of another user.

पहचान के चरणअनुवाद हो रहा है…

• php: Examine web server access logs for suspicious POST requests to /admin/playerUpdate.json.php originating from unexpected IP addresses.

grep -i 'playerUpdate.json.php' /var/log/apache2/access.log | grep -i 'POST' | grep -v '127.0.0.1'

• php: Review AVideo configuration files for any instances of ignoreTableSecurityCheck() that might be disabling security checks.

grep -r ignoreTableSecurityCheck /var/www/avideo/

• generic web: Monitor for unusual changes in the video player's appearance across the platform, which could indicate a successful CSRF attack.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.02% (3% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N4.3MEDIUMAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकavideo
विक्रेताWWBN
प्रभावित श्रेणीमें ठीक किया गया
<= 26.0 – <= 26.026.0.1

कमजोरी वर्गीकरण (CWE)

CWE-352

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-35181 को कम करने के लिए, AVideo को संस्करण 26.1 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को रोकने के लिए किया जा सकता है। इसके अतिरिक्त, सुनिश्चित करें कि सभी कुकीज़ में SameSite विशेषता सेट है ताकि क्रॉस-ओरिजिन अनुरोधों को रोका जा सके। खिलाड़ी त्वचा कॉन्फ़िगरेशन को संशोधित करने वाले किसी भी अनुरोध को मान्य करने के लिए सर्वर-साइड सत्यापन लागू करें।

कैसे ठीक करें

CSRF भेद्यता को कम करने के लिए AVideo को संस्करण 26.1 या उससे ऊपर के संस्करण में अपडेट करें। यह अपडेट प्लेयर स्किन कॉन्फ़िगरेशन एंडपॉइंट पर CSRF टोकन सत्यापन की कमी को ठीक करता है, जिससे वीडियो प्लेयर के स्वरूप में अनधिकृत संशोधन को रोका जा सकता है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-35181 — CSRF AVideo में क्या है?

CVE-2026-35181 AVideo वीडियो प्लेटफ़ॉर्म में एक क्रॉस-साइट रिक्वेस्ट फोर्जिंग (CSRF) भेद्यता है जो हमलावरों को खिलाड़ी त्वचा कॉन्फ़िगरेशन को बदलने की अनुमति देती है।

क्या मैं CVE-2026-35181 से AVideo में प्रभावित हूं?

यदि आप AVideo के संस्करण 0.0.0 से 26.0 तक का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं AVideo में CVE-2026-35181 को कैसे ठीक करूं?

CVE-2026-35181 को ठीक करने के लिए, AVideo को संस्करण 26.1 में अपग्रेड करें।

क्या CVE-2026-35181 सक्रिय रूप से शोषण किया जा रहा है?

वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन CSRF हमलों की संभावना को देखते हुए, इसे गंभीरता से लिया जाना चाहिए।

मैं CVE-2026-35181 के लिए आधिकारिक AVideo सलाहकार कहां पा सकता हूं?

आधिकारिक AVideo सलाहकार के लिए, कृपया AVideo वेबसाइट या संबंधित सुरक्षा बुलेटिन देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें