Plataforma
php
Componente
avideo
Corrigido em
26.0.1
O CVE-2026-39370 é uma vulnerabilidade de SSRF (Server-Side Request Forgery) identificada na plataforma de vídeo open source AVideo. Essa falha permite que um atacante autenticado utilize o fluxo de upload por URL para exfiltrar dados, contornando a validação de URLs. A vulnerabilidade afeta versões do AVideo de 0.0.0 até a 26.0, sendo corrigida na versão 26.1.
Um atacante autenticado pode explorar essa vulnerabilidade para realizar exfiltração de dados através de requisições SSRF. Ao injetar URLs maliciosas no processo de upload, o servidor AVideo buscará o conteúdo dessas URLs e o armazenará como mídia. Isso permite que o atacante acesse recursos internos que normalmente não seriam acessíveis externamente, potencialmente expondo informações sensíveis ou comprometendo a integridade do sistema. A exploração bem-sucedida pode levar à divulgação de dados confidenciais e à manipulação de conteúdo na plataforma.
O CVE-2026-39370 foi publicado em 07 de abril de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A vulnerabilidade é considerada de alta severidade devido ao potencial de exfiltração de dados e acesso não autorizado a recursos internos. A existência de um precedente similar em CVE-2026-27732 indica que a validação de URL pode ser um ponto fraco comum em aplicações web.
Organizations using AVideo for video hosting and content management are at risk, particularly those with internal services or sensitive data accessible from the AVideo server. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk, as a compromised user account could be used to exploit the vulnerability.
• php: Examine AVideo server access logs for requests to unusual or internal URLs originating from authenticated uploaders.
grep 'downloadURL=[^&]+' /var/log/apache2/access.log | grep 'AVideo'• php: Check AVideo configuration files for any unusual or overly permissive network settings. • generic web: Monitor AVideo server response headers for unexpected content types or unusual data being served. • generic web: Use a web application firewall (WAF) to block requests containing suspicious URLs or patterns in the downloadURL parameter.
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para o CVE-2026-39370 é a atualização para a versão 26.1 do AVideo, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar regras de firewall ou proxy para bloquear requisições para domínios e IPs suspeitos. Além disso, revise e reforce as validações de URL no código da aplicação para evitar a contaminação por entradas maliciosas. Monitore logs de acesso e erro em busca de padrões de requisições anormais que possam indicar uma tentativa de exploração.
Atualize AVideo para a versão 26.1 ou superior para mitigar a vulnerabilidade de SSRF. A atualização corrige uma falha na validação das URLs de download que permitia a atacantes exfiltrarem respostas internas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39370 é uma vulnerabilidade de SSRF na plataforma AVideo, permitindo que atacantes autenticados exfiltrem dados através de requisições maliciosas.
Se você estiver utilizando uma versão do AVideo entre 0.0.0 e 26.0, você está afetado por essa vulnerabilidade.
A correção é atualizar para a versão 26.1 do AVideo. Se a atualização não for imediata, implemente regras de firewall e valide URLs.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a vulnerabilidade é considerada de alta severidade.
Consulte o site oficial do AVideo ou o repositório de segurança para obter o advisory oficial e informações adicionais.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.