平台
php
组件
wwbn/avideo
修复版本
26.0.1
26.0.1
CVE-2026-34611 描述了 wwbn/avideo 平台 objects/emailAllUsers.json.php 端点中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者诱导管理员发送恶意 HTML 邮件给所有注册用户,伪装成平台自身的邮件地址。此漏洞影响 wwbn/avideo 版本小于等于 26.0。建议尽快升级或实施缓解措施。
该 CSRF 漏洞的潜在影响非常严重。攻击者可以通过精心设计的恶意页面,诱骗管理员执行未经授权的操作,例如向所有用户发送包含恶意链接或脚本的电子邮件。这些电子邮件可能包含钓鱼链接,用于窃取用户凭据,或者执行恶意代码,从而导致数据泄露、系统破坏或其他安全事件。由于 AVideo 设置了 SameSite=None,跨域 POST 请求会自动包含管理员的会话 Cookie,使得攻击者更容易利用此漏洞。攻击者可以利用此漏洞进行大规模的钓鱼攻击,损害平台的声誉,并可能导致严重的法律和财务后果。
目前尚未公开发现针对 CVE-2026-34611 的公开利用代码。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Organizations and individuals using wwbn/avideo versions 26.0 and earlier are at risk. This includes platforms deployed in shared hosting environments, as well as those with legacy configurations that may not have robust security controls in place. Administrators of AVideo instances are particularly vulnerable, as they are the primary targets of this attack.
• php / web:
grep -r 'objects/emailAllUsers.json.php' /var/www/avideo/• php / web:
curl -I https://your-avideo-instance.com/objects/emailAllUsers.json.php | grep 'SameSite'• generic web: Inspect the HTML source code of AVideo pages for any suspicious forms or scripts that could be used to trigger the email functionality without proper CSRF protection.
disclosure
漏洞利用状态
EPSS
0.02% (3% 百分位)
CISA SSVC
为了缓解 CVE-2026-34611 的风险,建议立即升级到最新版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,实施严格的 CSRF 令牌验证机制,确保所有敏感操作都需要有效的令牌。其次,可以考虑使用 WAF(Web Application Firewall)或代理服务器来过滤恶意请求,阻止包含恶意参数的请求到达目标端点。此外,建议对管理员进行安全意识培训,提高他们对钓鱼攻击的警惕性。最后,定期审查和更新平台的安全配置,确保其符合最佳实践。
将 AVideo 更新到 26.0 版本之后的版本,当有补丁可用时。作为临时措施,在 objects/emailAllUsers.json.php 端点上实施 CSRF 验证,以防止跨站请求伪造攻击。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-34611 是 wwbn/avideo 平台 objects/emailAllUsers.json.php 端点中发现的跨站请求伪造 (CSRF) 漏洞,允许攻击者诱导管理员发送恶意邮件。
如果您的 wwbn/avideo 版本小于等于 26.0,则可能受到此漏洞的影响。请立即检查您的版本并采取相应的缓解措施。
建议升级到最新版本。如果无法升级,请实施 CSRF 令牌验证、WAF 过滤等缓解措施。
目前尚未公开发现针对 CVE-2026-34611 的公开利用代码,但已添加到 CISA KEV 目录中,表明其具有中等概率被利用。
请查阅 wwbn/avideo 官方安全公告,获取有关此漏洞的详细信息和修复建议。
CVSS 向量