प्लेटफ़ॉर्म
php
घटक
avideo
में ठीक किया गया
26.0.1
CVE-2026-35180 AVideo प्लेटफ़ॉर्म में एक क्रॉस-साइट रिक्वेस्ट फोर्जिंग (CSRF) भेद्यता है। यह भेद्यता हमलावरों को प्लेटफ़ॉर्म के लोगो को दुर्भावनापूर्ण सामग्री से बदलने की अनुमति देती है, जिससे संभावित रूप से उपयोगकर्ता अनुभव को दूषित किया जा सकता है और प्लेटफ़ॉर्म की प्रतिष्ठा को नुकसान हो सकता है। यह भेद्यता AVideo के संस्करण 1.0.0 से 26.0 तक के संस्करणों को प्रभावित करती है। संस्करण 26.1 में इस समस्या का समाधान किया गया है।
यह CSRF भेद्यता हमलावरों को AVideo प्लेटफ़ॉर्म के व्यवस्थापन इंटरफ़ेस के माध्यम से अनधिकृत परिवर्तन करने की अनुमति देती है। विशेष रूप से, हमलावर प्लेटफ़ॉर्म के लोगो को अपने नियंत्रित सामग्री से बदल सकता है। यह परिवर्तन प्लेटफ़ॉर्म पर प्रदर्शित सभी पृष्ठों पर दिखाई देगा, जिससे उपयोगकर्ताओं को भ्रमित किया जा सकता है या उन्हें दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित किया जा सकता है। चूंकि भेद्यता SameSite=None कुकी नीति के साथ संयुक्त है, इसलिए क्रॉस-ओरिजिन POST हमलों को अंजाम देना संभव है। इस भेद्यता का उपयोग ब्रांडिंग को नुकसान पहुंचाने, फ़िशिंग हमलों को अंजाम देने या प्लेटफ़ॉर्म के उपयोगकर्ताओं को दुर्भावनापूर्ण सामग्री प्रदर्शित करने के लिए किया जा सकता है।
CVE-2026-35180 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात मामले नहीं हैं। यह भेद्यता 2026-04-06 को सार्वजनिक रूप से प्रकट की गई थी। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं है, लेकिन CSRF भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। इस भेद्यता को CISA KEV सूची में शामिल नहीं किया गया है।
Organizations and individuals using WWBN AVideo versions 1.0.0 through 26.0 are at risk, particularly those with publicly accessible admin interfaces or those who have not implemented robust access controls to the admin panel. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk.
• php: Examine access logs for POST requests to /admin/customizesettingsnativeUpdate.json.php originating from unexpected sources or without proper CSRF tokens.
grep -i 'POST /admin/customize_settings_nativeUpdate.json.php' access.log | grep -i 'Referer:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (3% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-35180 के लिए प्राथमिक शमन उपाय AVideo को संस्करण 26.1 या बाद के संस्करण में अपग्रेड करना है, जिसमें भेद्यता को ठीक किया गया है। यदि तत्काल अपग्रेड संभव नहीं है, तो CSRF टोकन सत्यापन को लागू करने के लिए एक अस्थायी समाधान के रूप में वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है। इसके अतिरिक्त, सुनिश्चित करें कि सभी व्यवस्थापन इंटरफ़ेस को उचित रूप से सुरक्षित किया गया है और केवल अधिकृत उपयोगकर्ताओं द्वारा ही पहुँचा जा सकता है। प्लेटफ़ॉर्म के कॉन्फ़िगरेशन की नियमित रूप से समीक्षा करें और किसी भी असामान्य गतिविधि या अनधिकृत परिवर्तन के लिए निगरानी करें।
CSRF भेद्यता को कम करने के लिए AVideo को संस्करण 26.1 या उच्चतर में अपडेट करें। यह अपडेट साइट अनुकूलन एंडपॉइंट पर CSRF टोकन सत्यापन लागू करता है, जिससे हमलावर-नियंत्रित सामग्री के साथ लोगो को ओवरराइट होने से रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-35180 AVideo प्लेटफ़ॉर्म में एक क्रॉस-साइट रिक्वेस्ट फोर्जिंग (CSRF) भेद्यता है जो हमलावरों को प्लेटफ़ॉर्म के लोगो को बदलने की अनुमति देती है।
यदि आप AVideo के संस्करण 1.0.0 से 26.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
AVideo को संस्करण 26.1 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करें।
CVE-2026-35180 के सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता का शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए AVideo वेबसाइट या सुरक्षा सलाहकारों की सूची देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।