Platform
php
Component
avideo
Opgelost in
26.0.1
CVE-2026-35181 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in AVideo, een open source video platform. Deze kwetsbaarheid stelt een aanvaller in staat om de configuratie van de video player te wijzigen, wat de gebruikerservaring en mogelijk de functionaliteit van het platform kan beïnvloeden. De kwetsbaarheid treft versies 0.0.0 tot en met 26.0. Een fix is beschikbaar in versie 26.1.
Een succesvolle exploitatie van deze CSRF-kwetsbaarheid stelt een aanvaller in staat om de uiterlijke weergave van de video player op het gehele AVideo platform te manipuleren. Dit kan variëren van het veranderen van kleuren en lettertypen tot het injecteren van schadelijke scripts via de player skin configuratie. Omdat de kwetsbaarheid gebruik maakt van SameSite=None cookies, kan een aanvaller deze exploitatie uitvoeren vanaf een andere domein, wat het risico vergroot. De impact is vooral merkbaar voor gebruikers die de video player intensief gebruiken en afhankelijk zijn van een consistente en veilige weergave.
Op dit moment (2026-04-06) is er geen informatie beschikbaar over actieve exploitatie van CVE-2026-35181. Er zijn ook geen publieke Proof-of-Concept (PoC) exploits bekend. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en is nog niet toegevoegd aan de CISA KEV catalogus. De kans op exploitatie is momenteel als laag te beoordelen, maar het is belangrijk om de kwetsbaarheid te patchen om toekomstige risico's te minimaliseren.
Organizations and individuals using AVideo for hosting and streaming video content are at risk. Specifically, deployments with weak cookie security settings (SameSite=None) are more vulnerable. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk, as an attacker could potentially exploit the vulnerability on behalf of another user.
• php: Examine web server access logs for suspicious POST requests to /admin/playerUpdate.json.php originating from unexpected IP addresses.
grep -i 'playerUpdate.json.php' /var/log/apache2/access.log | grep -i 'POST' | grep -v '127.0.0.1'• php: Review AVideo configuration files for any instances of ignoreTableSecurityCheck() that might be disabling security checks.
grep -r ignoreTableSecurityCheck /var/www/avideo/• generic web: Monitor for unusual changes in the video player's appearance across the platform, which could indicate a successful CSRF attack.
disclosure
Exploit Status
EPSS
0.02% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-35181 is het upgraden van AVideo naar versie 26.1 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van strikte Content Security Policy (CSP) headers om de bronnen die de video player kan laden te beperken. Daarnaast kan het implementeren van een Web Application Firewall (WAF) helpen om kwaadaardige CSRF-verzoeken te detecteren en te blokkeren. Controleer de configuratie van SameSite cookies om te zorgen dat deze niet op 'None' staan, tenzij strikt noodzakelijk. Na de upgrade, controleer de video player configuratie om er zeker van te zijn dat deze niet is gewijzigd door een aanvaller.
Actualiseer AVideo naar versie 26.1 of hoger om de CSRF-kwetsbaarheid te mitigeren. Deze update corrigeert het gebrek aan CSRF token validatie in het endpoint voor configuratie van de player uitstraling, waardoor ongeautoriseerde wijzigingen aan de video player uitstraling worden voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35181 is a Cross-Site Request Forgery (CSRF) vulnerability affecting AVideo versions 0.0.0 through 26.0, allowing attackers to modify the video player's appearance.
If you are running AVideo version 0.0.0 through 26.0, you are potentially affected by this vulnerability. Upgrade to version 26.1 or later to mitigate the risk.
The recommended fix is to upgrade AVideo to version 26.1 or later. As a temporary workaround, implement a WAF rule to block unauthorized requests to /admin/playerUpdate.json.php.
There are currently no confirmed reports of active exploitation, but the vulnerability's simplicity suggests it could be exploited.
Refer to the AVideo project's official website and security advisories for the latest information and updates regarding CVE-2026-35181.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.