Platform
php
Component
avideo
Opgelost in
26.0.1
CVE-2026-35180 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in AVideo, een open-source video platform. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde wijzigingen aan te brengen, specifiek het logo van de platform te overschrijven. De kwetsbaarheid treft AVideo versies 1.0.0 tot en met 26.0. Een patch is beschikbaar in versie 26.1.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid kan leiden tot het overschrijven van het platformlogo met kwaadaardige content. Dit kan de reputatie van de platform schaden en gebruikers misleiden. De kwetsbaarheid maakt gebruik van het ontbreken van CSRF-token validatie in de endpoint voor site aanpassingen (admin/customizesettingsnativeUpdate.json.php). Door het combineren van SameSite=None cookie policy, kan een aanvaller een cross-origin POST uitvoeren en de logo overschrijven. Dit kan gebruikt worden voor phishing of om de gebruikerservaring te manipuleren.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-04-06. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de CSRF-aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
Organizations and individuals using WWBN AVideo versions 1.0.0 through 26.0 are at risk, particularly those with publicly accessible admin interfaces or those who have not implemented robust access controls to the admin panel. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk.
• php: Examine access logs for POST requests to /admin/customizesettingsnativeUpdate.json.php originating from unexpected sources or without proper CSRF tokens.
grep -i 'POST /admin/customize_settings_nativeUpdate.json.php' access.log | grep -i 'Referer:'disclosure
Exploit Status
EPSS
0.02% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar AVideo versie 26.1, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strikte Content Security Policy (CSP) headers om cross-origin POST requests te beperken. Daarnaast kan het configureren van de SameSite cookie attribute op 'Strict' of 'Lax' de impact van de CSRF-aanval verminderen. Controleer de AVideo documentatie voor specifieke instructies over het configureren van CSP en SameSite cookies.
Actualiseer AVideo naar versie 26.1 of hoger om de CSRF kwetsbaarheid te mitigeren. Deze update implementeert CSRF token validatie op het site customization endpoint, waardoor het overschrijven van het logo met door de aanvaller gecontroleerde content wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35180 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in AVideo versies 1.0.0 tot en met 26.0, waardoor een aanvaller het platformlogo kan overschrijven.
Ja, als u een AVideo platform gebruikt in versie 1.0.0 tot en met 26.0, bent u kwetsbaar voor deze CSRF-aanval.
Upgrade naar AVideo versie 26.1. Als dit niet mogelijk is, implementeer dan strikte CSP headers en configureer SameSite cookies.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie, maar de eenvoud van CSRF-aanvallen maakt misbruik waarschijnlijk.
Raadpleeg de AVideo documentatie en beveiligingspagina voor de meest recente informatie over deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.