Platform
other
Component
pilos
Opgelost in
4.10.1
CVE-2026-22800 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in PILOS (Platform for Interactive Live-Online Seminars), een frontend voor BigBlueButton. Deze kwetsbaarheid stelt een aanvaller in staat om alle actieve videoconferenties op een server te beëindigen via een HTTP GET request naar een administratieve API endpoint. De kwetsbaarheid treft versies van PILOS tot en met 4.10.0. Een upgrade naar versie 4.10.0 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid kan leiden tot ongewenste beëindiging van alle actieve videoconferenties op een PILOS server. Dit kan aanzienlijke verstoring veroorzaken voor gebruikers die deelnemen aan deze conferenties, en kan leiden tot verlies van data of gemiste kansen. Hoewel de endpoint autorisatiecontroles heeft, maakt het gebruik van een HTTP GET request de actie indirect uitvoerbaar via content binnen dezelfde site, wat de aanvalsmogelijkheid vergroot. De impact is beperkt tot de server waarop de kwetsbare PILOS-instantie draait, waardoor de blast radius relatief klein is.
Op dit moment (2026-01-12) is er geen publieke proof-of-concept (POC) beschikbaar voor CVE-2026-22800. De kwetsbaarheid is opgenomen in de NVD database. De EPSS score is nog niet bekend, maar gezien de CSRF aard en de relatief lage CVSS score (2.4), wordt een lage tot gemiddelde exploitatie waarschijnlijkheid verwacht. Er zijn geen bekende actieve campagnes gerelateerd aan deze kwetsbaarheid.
Organizations utilizing PILOS as a frontend for BigBlueButton, particularly those with legacy configurations or shared hosting environments, are at risk. Educational institutions, online training providers, and any entity relying on BigBlueButton for live online seminars should prioritize upgrading to the patched version.
disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-22800 is het upgraden van PILOS naar versie 4.10.0 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van strikte Content Security Policy (CSP) headers om het laden van externe scripts te beperken. Daarnaast kan het configureren van een Web Application Firewall (WAF) met regels die CSRF-aanvallen detecteren en blokkeren, helpen om de kwetsbaarheid te beperken. Na de upgrade, verifieer de fix door een poging te wagen om de endpoint via een GET request te triggeren en te controleren of de actie niet langer wordt uitgevoerd.
Werk PILOS bij naar versie 4.10.0 of hoger. Deze versie corrigeert de CSRF-kwetsbaarheid die onbedoelde beëindiging van videovergaderingen mogelijk maakt. De update voorkomt dat een geauthenticeerde beheerder, bij het bekijken van kwaadaardige content, per ongeluk de beëindiging van alle actieve videovergaderingen activeert.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22800 is a Cross-Site Request Forgery (CSRF) vulnerability in PILOS versions up to 4.10.0, allowing attackers to potentially terminate all active video conferences on a server via a GET request.
You are affected if you are using PILOS versions 4.10.0 or earlier. Upgrade to 4.10.0 to mitigate the risk.
Upgrade PILOS to version 4.10.0 or later. As a temporary workaround, implement strict Content Security Policy (CSP) headers.
There are currently no reports of active exploitation, but the vulnerability remains a potential risk.
Refer to the PILOS project's official security advisories for the most up-to-date information and guidance.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.