Platform
php
Component
avideo
Opgelost in
29.0.1
CVE-2026-41060 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in AVideo. Deze kwetsbaarheid stelt een aanvaller in staat om interne poorten op de AVideo-server te bereiken en data te exfiltreren door een hostname-vergelijking te omzeilen. De kwetsbaarheid treft versies van AVideo tussen 1.0.0 en 29.0 inclusief. Een fix is beschikbaar in versie 29.1.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne services en databases blootleggen die normaal gesproken niet toegankelijk zijn vanaf het publieke internet. Door het manipuleren van de hostname in een URL kan de aanvaller verbinding maken met interne poorten en gevoelige data exfiltreren. Dit kan leiden tot dataverlies, compromittering van interne systemen en mogelijk zelfs volledige controle over de AVideo-server. De mogelijkheid om data te exfiltreren via een web-toegankelijk pad verhoogt de ernst van de kwetsbaarheid aanzienlijk.
Op dit moment is er geen informatie beschikbaar over actieve exploitatie van CVE-2026-41060 in de wild. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is openbaar gemaakt op 2026-04-21. De ernst van de kwetsbaarheid is hoog, wat aangeeft dat er een potentieel risico is, maar er is geen bevestiging van daadwerkelijke misbruik.
Organizations using AVideo in production environments, particularly those with sensitive data or internal services accessible via the web server, are at risk. Shared hosting environments where multiple users share the same AVideo instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability to access data belonging to other users.
• php: Examine the objects/functions.php file for the isSSRFSafeURL() function and its shortcircuit logic. Look for modifications or unexpected behavior related to hostname comparisons.
// Example: Check for the vulnerable logic in isSSRFSafeURL()
if (strpos($_SERVER['HTTP_HOST'], $webSiteRootURL) !== false) {
// Vulnerable shortcircuit
}• generic web: Monitor access logs for requests to the AVideo server using non-standard ports (e.g., 8080, 8443) or unusual hostnames.
• generic web: Check response headers for unexpected content or indicators of data exfiltration.
• generic web: Use curl to test SSRF bypass by attempting to access internal resources using the site's hostname and a non-standard port.
curl -v --connect-timeout 5 http://your-avideo-site.com:8080/internal/resourcedisclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-41060 is het upgraden naar AVideo versie 29.1 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) of proxy die requests met ongebruikelijke poorten of interne hostnamen blokkeert. Controleer ook de configuratie van AVideo om te zorgen dat er geen onnodige interne services worden blootgesteld. Na de upgrade, verifieer de fix door een poging te wagen om een request naar een interne poort te sturen en controleer of deze wordt geblokkeerd.
Werk AVideo bij naar versie 29.1 of hoger om de SSRF-kwetsbaarheid te mitigeren. Deze update corrigeert de fout in de functie `isSSRFSafeURL()` die het mogelijk maakte om SSRF-beschermingen te omzeilen door hetzelfde hostname van de website met een andere poort te gebruiken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-41060 is a Server-Side Request Forgery (SSRF) vulnerability in AVideo versions 1.0.0 through 29.0, allowing attackers to bypass SSRF protections and potentially exfiltrate data.
You are affected if you are running AVideo versions 1.0.0 through 29.0. Upgrade to version 29.1 or later to mitigate the vulnerability.
Upgrade AVideo to version 29.1 or later. As a temporary workaround, implement a WAF rule to block requests with non-standard ports or suspicious hostnames.
While no active exploitation has been confirmed, the SSRF nature of the vulnerability suggests a potential for exploitation once a public proof-of-concept is available.
Refer to the official AVideo security advisory for detailed information and updates regarding CVE-2026-41060.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.