Plataforma
php
Componente
avideo
Corrigido em
26.0.1
A vulnerabilidade CVE-2026-35180 afeta a plataforma de vídeo AVideo, uma solução de código aberto desenvolvida pela WWBN. Esta falha de Cross-Site Request Forgery (CSRF) permite que atacantes substituam o logotipo da plataforma por conteúdo malicioso. A vulnerabilidade impacta versões de 1.0.0 até a 26.0 e foi corrigida na versão 26.1.
Um atacante pode explorar esta vulnerabilidade para substituir o logotipo da plataforma AVideo por uma imagem maliciosa ou um script que redireciona usuários para sites fraudulentos. A ausência de validação de token CSRF no endpoint de personalização e a escrita do arquivo de logotipo no disco antes da verificação de segurança do ORM tornam possível essa exploração. A combinação com a política de cookie SameSite=None agrava o risco, permitindo ataques cross-origin. O impacto pode variar desde a degradação da marca até a execução de código malicioso no navegador do usuário, dependendo do conteúdo injetado no logotipo.
A vulnerabilidade foi divulgada em 2026-04-06. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da divulgação. A ausência de um Proof of Concept (PoC) público dificulta a avaliação do risco imediato, mas a natureza da vulnerabilidade CSRF a torna potencialmente explorável.
Organizations and individuals using WWBN AVideo versions 1.0.0 through 26.0 are at risk, particularly those with publicly accessible admin interfaces or those who have not implemented robust access controls to the admin panel. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk.
• php: Examine access logs for POST requests to /admin/customizesettingsnativeUpdate.json.php originating from unexpected sources or without proper CSRF tokens.
grep -i 'POST /admin/customize_settings_nativeUpdate.json.php' access.log | grep -i 'Referer:'disclosure
Status do Exploit
EPSS
0.02% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar a plataforma AVideo para a versão 26.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção temporárias. Implementar validação de token CSRF em todos os endpoints de personalização é crucial. Além disso, configure o servidor web para aplicar a política SameSite=Strict aos cookies, restringindo o acesso cross-origin. Monitore os logs do servidor em busca de tentativas de modificação do arquivo de logotipo e configure regras de firewall de aplicação web (WAF) para bloquear requisições POST suspeitas para o endpoint de personalização.
Atualize AVideo para a versão 26.1 ou superior para mitigar a vulnerabilidade de CSRF. Esta atualização implementa a validação de tokens CSRF no endpoint de personalização do site, prevenindo a sobrescrita do logo com conteúdo controlado pelo atacante.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35180 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) na plataforma de vídeo AVideo, permitindo que atacantes substituam o logotipo da plataforma.
Se você estiver usando AVideo nas versões de 1.0.0 até 26.0, você está afetado por esta vulnerabilidade.
Atualize a plataforma AVideo para a versão 26.1 ou superior para corrigir a vulnerabilidade. Implemente validação CSRF como medida temporária.
Não há informações disponíveis sobre exploração ativa no momento da divulgação, mas a natureza da vulnerabilidade a torna potencialmente explorável.
Consulte o site oficial da WWBN ou o repositório do AVideo no GitHub para obter o advisory oficial e informações adicionais.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.