PILOS एक GET अनुरोध के माध्यम से CSRF से प्रभावित है जो सभी सक्रिय वीडियो कॉन्फ्रेंस के अनजाने में समाप्त होने की अनुमति देता है

यह CSRF भेद्यता हमलावर को एक दुर्भावनापूर्ण वेबसाइट के माध्यम से PILOS सर्वर पर सभी सक्रिय वीडियो कॉन्फ्रेंस को समाप्त करने की अनुमति दे सकती है, यदि उपयोगकर्ता PILOS के लिए प्रमाणित है और दुर्भावनापूर्ण वेबसाइट पर जाता है। यह विशेष रूप से चिंताजनक है क्योंकि प्रभावित एंडपॉइंट एक HTTP GET अनुरोध के माध्यम से उजागर है, जो इसे समान-साइट सामग्री के माध्यम से चुपचाप ट्रिगर करने की अनुमति देता है। हालांकि उचित प्राधिकरण जांच लागू हैं, GET अनुरोध का उपयोग कार्रवाई को स्पष्ट रूप से ट्रिगर किए बिना इसे ट्रिगर करने का एक तरीका प्रदान करता है। इस भेद्यता का उपयोग करके, एक हमलावर अनजाने उपयोगकर्ताओं के लिए महत्वपूर्ण व्यवधान पैदा कर सकता है और संभावित रूप से डेटा हानि का कारण बन सकता है।

Organizations utilizing PILOS as a frontend for BigBlueButton, particularly those with legacy configurations or shared hosting environments, are at risk. Educational institutions, online training providers, and any entity relying on BigBlueButton for live online seminars should prioritize upgrading to the patched version.

1. 2026-01-12Disclosure

   disclosure

1. आरक्षित2026-01-09
2. प्रकाशित2026-01-12
3. संशोधित2026-01-13
4. EPSS अद्यतन2026-03-23

CVE-2026-22800 को कम करने के लिए, PILOS को संस्करण 4.10.0 में तुरंत अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी को कॉन्फ़िगर किया जा सकता है ताकि दुर्भावनापूर्ण CSRF अनुरोधों को ब्लॉक किया जा सके। इसके अतिरिक्त, सुनिश्चित करें कि सभी प्रशासनिक कार्यों के लिए मजबूत प्रमाणीकरण तंत्र लागू हैं। यह सुनिश्चित करने के लिए कि अपडेट सफल रहा है, अपडेट के बाद, सभी सक्रिय वीडियो कॉन्फ्रेंस को समाप्त करने के लिए प्रशासनिक API एंडपॉइंट को एक्सेस करने का प्रयास करके सत्यापित करें और सुनिश्चित करें कि प्रमाणीकरण विफल रहता है।