Platform
php
Component
wwbn/avideo
Opgelost in
26.0.1
26.0.1
CVE-2026-34738 is a security vulnerability affecting the wwbn/avideo component where the video processing pipeline allows unauthorized users to modify a video's status, bypassing moderation workflows. This enables any user with upload permissions to directly publish videos, circumventing content review processes and potentially leading to the dissemination of unapproved content. The vulnerability impacts versions of wwbn/avideo up to 26.0. No official patch is currently available.
De CVE-2026-34738-kwetsbaarheid in AVideo stelt elke uploader met rechten in staat om de status van een video direct op 'actief' (a) te zetten, waardoor de door beheerders gecontroleerde moderatie- en conceptworkflows worden omzeild. Dit komt doordat de methode setStatus() de statuscode valideert aan de hand van een vooraf gedefinieerde lijst, maar niet controleert of de aanroeper de toestemming heeft om die specifieke status in te stellen. Een aanvaller kan deze fout uitbuiten om ongepaste of niet-goedgekeurde inhoud te publiceren, wat een negatieve invloed heeft op de kwaliteit en veiligheid van het platform. Het ontbreken van een beschikbare fix verergert het risico, aangezien de kwetsbaarheid open blijft voor exploitatie.
Een aanvaller met uploadrechten in AVideo kan deze kwetsbaarheid uitbuiten door een overrideStatus-verzoek te verzenden met de waarde 'a' (actief). Vanwege onvoldoende machtigingsvalidatie wordt het verzoek verwerkt zonder de juiste autorisatie, waardoor de aanvaller video's rechtstreeks kan publiceren, waarbij het moderatieproces wordt omzeild. De eenvoud van de exploitatie ligt in de eenvoud van het verzoek en het ontbreken van adequate toegangscontroles. De exploitatie kan worden geautomatiseerd, waardoor de massaproductie van ongewenste inhoud mogelijk wordt.
Exploit Status
EPSS
0.03% (7% percentiel)
CISA SSVC
CVSS-vector
Aangezien er geen officiële fix wordt verstrekt, richt de onmiddellijke mitigatie zich op het implementeren van strengere toegangscontroles binnen de methode setStatus(). Dit omvat het verifiëren van de identiteit en rechten van de gebruiker voordat statuswijzigingen zijn toegestaan. Het wordt aanbevolen om de code met betrekking tot videostatusbeheer grondig te controleren om potentiële autorisatiefouten te identificeren en te corrigeren. Bovendien kan het implementeren van een gedetailleerd loggingsysteem voor statuswijzigingen helpen bij het detecteren en reageren op exploitatiepogingen. Overweeg de statuswijzigingsfunctionaliteit tijdelijk uit te schakelen totdat een geschikte oplossing is geïmplementeerd.
Actualizar AVideo a una versión posterior a la 26.0, una vez que se publique un parche. Como medida temporal, revisar y moderar manualmente todos los videos subidos para asegurar que el contenido sea apropiado antes de publicarlo.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een unieke identificator voor deze specifieke kwetsbaarheid in AVideo.
Het kan de publicatie van ongepaste of niet-goedgekeurde inhoud mogelijk maken, wat een negatieve invloed heeft op de kwaliteit van het platform.
Momenteel wordt er geen officiële fix verstrekt door AVideo. Mitigerende maatregelen worden aanbevolen.
Implementeer strengere toegangscontroles en controleer de code met betrekking tot videostatusbeheer.
Houd de communicatiekanalen van AVideo en kwetsbaarheidsdatabases zoals NVD in de gaten.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.