WWBN AVideo Afetado por CSRF na Configuração da Aparência do Player via admin/playerUpdate.json.php
Plataforma
php
Componente
avideo
Corrigido em
26.0.1
A vulnerabilidade CVE-2026-35181 afeta a plataforma de vídeo open source AVideo, desenvolvida pela WWBN. Esta falha de Cross-Site Request Forgery (CSRF) permite a um atacante modificar a aparência do player de vídeo em toda a plataforma. A vulnerabilidade impacta versões de 0.0.0 até a 26.0 e foi corrigida na versão 26.1.
Impacto e Cenários de Ataque
Um atacante pode explorar esta vulnerabilidade CSRF para modificar a aparência do player de vídeo em toda a plataforma AVideo. Isso pode incluir a inserção de conteúdo malicioso, a alteração da marca d'água ou a desativação de funcionalidades importantes. A exploração bem-sucedida pode comprometer a integridade visual da plataforma e, potencialmente, induzir os usuários a realizar ações não intencionais. A ausência de validação de tokens CSRF no endpoint admin/playerUpdate.json.php, combinada com cookies SameSite=None, facilita a exploração cross-origin.
Contexto de Exploração
A vulnerabilidade foi divulgada em 2026-04-06. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A ausência de validação de tokens CSRF é um padrão conhecido em aplicações web e pode ser explorado por atacantes com conhecimento em segurança.
Quem Está em Riscotraduzindo…
Organizations and individuals using AVideo for hosting and streaming video content are at risk. Specifically, deployments with weak cookie security settings (SameSite=None) are more vulnerable. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk, as an attacker could potentially exploit the vulnerability on behalf of another user.
Passos de Detecçãotraduzindo…
• php: Examine web server access logs for suspicious POST requests to /admin/playerUpdate.json.php originating from unexpected IP addresses.
grep -i 'playerUpdate.json.php' /var/log/apache2/access.log | grep -i 'POST' | grep -v '127.0.0.1'• php: Review AVideo configuration files for any instances of ignoreTableSecurityCheck() that might be disabling security checks.
grep -r ignoreTableSecurityCheck /var/www/avideo/• generic web: Monitor for unusual changes in the video player's appearance across the platform, which could indicate a successful CSRF attack.
Linha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.02% (percentil 3%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Nenhum — sem impacto na confidencialidade.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária é atualizar a plataforma AVideo para a versão 26.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais. Implemente regras de firewall de aplicação web (WAF) para bloquear solicitações POST suspeitas para o endpoint admin/playerUpdate.json.php. Verifique se os cookies SameSite estão configurados corretamente para mitigar ataques cross-origin. Monitore os logs de acesso e erro em busca de tentativas de modificação não autorizadas do player de vídeo.
Como corrigir
Atualize AVideo para a versão 26.1 ou superior para mitigar a vulnerabilidade de CSRF. Esta atualização corrige a falta de validação de tokens CSRF no endpoint de configuração da aparência do player, prevenindo modificações não autorizadas da aparência do player de vídeo.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2026-35181 — CSRF in AVideo Video Platform?
CVE-2026-35181 is a Cross-Site Request Forgery (CSRF) vulnerability affecting AVideo versions 0.0.0 through 26.0, allowing attackers to modify the video player's appearance.
Am I affected by CVE-2026-35181 in AVideo Video Platform?
If you are running AVideo version 0.0.0 through 26.0, you are potentially affected by this vulnerability. Upgrade to version 26.1 or later to mitigate the risk.
How do I fix CVE-2026-35181 in AVideo Video Platform?
The recommended fix is to upgrade AVideo to version 26.1 or later. As a temporary workaround, implement a WAF rule to block unauthorized requests to /admin/playerUpdate.json.php.
Is CVE-2026-35181 being actively exploited?
There are currently no confirmed reports of active exploitation, but the vulnerability's simplicity suggests it could be exploited.
Where can I find the official AVideo advisory for CVE-2026-35181?
Refer to the AVideo project's official website and security advisories for the latest information and updates regarding CVE-2026-35181.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.