प्लेटफ़ॉर्म
php
घटक
wwbn/avideo
में ठीक किया गया
26.0.1
26.0.1
CVE-2026-34611 wwbn/avideo में एक क्रॉस-साइट स्क्रिप्टिंग (CSRF) भेद्यता है। यह भेद्यता हमलावरों को सभी पंजीकृत उपयोगकर्ताओं को HTML ईमेल भेजने की अनुमति देती है, जिससे यह प्रतीत होता है कि ईमेल आधिकारिक प्लेटफ़ॉर्म से आ रहा है। यह भेद्यता wwbn/avideo के संस्करणों को 26.0 या उससे कम प्रभावित करती है। इस समस्या को हल करने के लिए, wwbn/avideo को नवीनतम संस्करण में अपडेट करने की सिफारिश की जाती है।
यह CSRF भेद्यता हमलावरों के लिए एक गंभीर खतरा पैदा करती है क्योंकि वे सभी पंजीकृत उपयोगकर्ताओं को दुर्भावनापूर्ण ईमेल भेज सकते हैं। ये ईमेल फ़िशिंग हमलों, मैलवेयर वितरण या अन्य दुर्भावनापूर्ण गतिविधियों के लिए उपयोग किए जा सकते हैं। चूंकि AVideo सत्र कुकीज़ पर SameSite=None सेट करता है, इसलिए एक हमलावर-नियंत्रित पृष्ठ से क्रॉस-ओरिजिन POST अनुरोध स्वचालित रूप से व्यवस्थापक के सत्र कुकी को शामिल करेगा। एक हमलावर जो एक व्यवस्थापक को एक दुर्भावनापूर्ण पृष्ठ पर लुभा सकता है, वह प्लेटफ़ॉर्म के वैध SMTP पते से प्रतीत होने वाले एक मनमाना HTML ईमेल हर उपयोगकर्ता को भेज सकता है।
CVE-2026-34611 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी सार्वजनिक प्रकृति और CSRF भेद्यताओं की सापेक्ष आसानी से शोषण करने के कारण, यह संभावित रूप से शोषण के लिए खुला है। यह भेद्यता 2026-04-01 को प्रकाशित हुई थी। CISA KEV सूची में इसकी स्थिति अभी तक निर्धारित नहीं की गई है। सार्वजनिक प्रूफ-ऑफ-कांसेप्ट (POC) उपलब्ध होने की संभावना है, जो शोषण की संभावना को और बढ़ा सकता है।
Organizations and individuals using wwbn/avideo versions 26.0 and earlier are at risk. This includes platforms deployed in shared hosting environments, as well as those with legacy configurations that may not have robust security controls in place. Administrators of AVideo instances are particularly vulnerable, as they are the primary targets of this attack.
• php / web:
grep -r 'objects/emailAllUsers.json.php' /var/www/avideo/• php / web:
curl -I https://your-avideo-instance.com/objects/emailAllUsers.json.php | grep 'SameSite'• generic web: Inspect the HTML source code of AVideo pages for any suspicious forms or scripts that could be used to trigger the email functionality without proper CSRF protection.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (3% शतमक)
CISA SSVC
CVE-2026-34611 के लिए प्राथमिक शमन उपाय wwbn/avideo को नवीनतम संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो CSRF टोकन सत्यापन को लागू करने के लिए एक अस्थायी समाधान के रूप में वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी नियमों का उपयोग किया जा सकता है। इसके अतिरिक्त, सभी व्यवस्थापकों को फ़िशिंग हमलों के बारे में शिक्षित किया जाना चाहिए और उन्हें संदिग्ध लिंक पर क्लिक करने से बचना चाहिए। अपडेट के बाद, यह सत्यापित करें कि CSRF टोकन सत्यापन ठीक से काम कर रहा है और कोई अनधिकृत ईमेल नहीं भेजे जा रहे हैं।
जब कोई पैच उपलब्ध हो तो AVideo को 26.0 से बाद के संस्करण में अपडेट करें। एक अस्थायी उपाय के रूप में, क्रॉस-साइट रिक्वेस्ट फ़ॉर्जरी हमलों को रोकने के लिए objects/emailAllUsers.json.php एंडपॉइंट पर CSRF सत्यापन लागू करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34611 wwbn/avideo में एक CSRF भेद्यता है जो हमलावरों को सभी पंजीकृत उपयोगकर्ताओं को दुर्भावनापूर्ण ईमेल भेजने की अनुमति देती है।
यदि आप wwbn/avideo के संस्करण 26.0 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-34611 को ठीक करने के लिए, wwbn/avideo को नवीनतम संस्करण में अपडेट करें।
CVE-2026-34611 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन शोषण की संभावना है।
कृपया wwbn/avideo की आधिकारिक वेबसाइट पर जाएँ या सुरक्षा सलाहकार के लिए उनके दस्तावेज़ देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।