Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
26.0.1
CVE-2026-34611 describes a Cross-Site Request Forgery (CSRF) vulnerability within the objects/emailAllUsers.json.php endpoint of the wwbn/avideo platform. This flaw allows an attacker to craft malicious HTML emails and send them to every registered user, impersonating the instance's legitimate SMTP address. The vulnerability affects versions of wwbn/avideo up to and including 26.0, and a fix is available via platform upgrade.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan misbruik maken van de emailAllUsers.json.php endpoint om kwaadaardige HTML-e-mails naar alle gebruikers van de AVideo-platform te sturen. Deze e-mails kunnen phishing-links bevatten, malware verspreiden of andere schadelijke acties uitvoeren, waardoor gebruikersgegevens in gevaar komen en de reputatie van de organisatie wordt geschaad. Het feit dat AVideo SameSite=None gebruikt op sessiecookies maakt de exploitatie eenvoudiger, omdat de sessiecookie automatisch wordt meegestuurd in cross-origin POST-verzoeken. Dit vereenvoudigt het proces voor een aanvaller om een admin te misleiden en de e-mailfunctie te misbruiken.
Op dit moment (2026-04-01) is er geen informatie beschikbaar over actieve exploitatiecampagnes gerelateerd aan CVE-2026-34611. Er zijn ook geen publiekelijk beschikbare proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en is openbaar bekend gemaakt. De EPSS score is nog niet bekend, maar gezien het feit dat het een CSRF-kwetsbaarheid betreft met potentieel brede impact, is het belangrijk om deze serieus te nemen.
Organizations and individuals using wwbn/avideo versions 26.0 and earlier are at risk. This includes platforms deployed in shared hosting environments, as well as those with legacy configurations that may not have robust security controls in place. Administrators of AVideo instances are particularly vulnerable, as they are the primary targets of this attack.
• php / web:
grep -r 'objects/emailAllUsers.json.php' /var/www/avideo/• php / web:
curl -I https://your-avideo-instance.com/objects/emailAllUsers.json.php | grep 'SameSite'• generic web: Inspect the HTML source code of AVideo pages for any suspicious forms or scripts that could be used to trigger the email functionality without proper CSRF protection.
disclosure
Exploit Status
EPSS
0.02% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-34611 is het upgraden van wwbn/avideo naar een beveiligde versie hoger dan 26.0. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strikte Content Security Policy (CSP) headers om cross-origin POST-verzoeken te beperken. Daarnaast kan het implementeren van een WAF (Web Application Firewall) met regels die CSRF-aanvallen detecteren en blokkeren, helpen om de impact te verminderen. Controleer de configuratie van de AVideo-applicatie om te verzekeren dat de sessiecookies correct zijn geconfigureerd en dat SameSite=None niet onnodig wordt gebruikt. Na de upgrade, verifieer de beveiliging door een CSRF-test uit te voeren op de emailAllUsers.json.php endpoint.
AVideo bijwerken naar een versie later dan 26.0 zodra een patch beschikbaar is. Als tijdelijke maatregel, een CSRF validatie implementeren op het endpoint objects/emailAllUsers.json.php om Cross-Site Request Forgery aanvallen te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34611 is a Cross-Site Request Forgery (CSRF) vulnerability in the objects/emailAllUsers.json.php endpoint of wwbn/avideo, allowing attackers to send malicious emails to all users.
You are affected if you are using wwbn/avideo versions 26.0 or earlier. Upgrade to a patched version as soon as possible.
The primary fix is to upgrade to a patched version of wwbn/avideo. As a temporary workaround, implement WAF rules and stricter session management policies.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official wwbn/avideo security advisories for the most up-to-date information and patch details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.