平台
php
组件
wwbn/avideo
修复版本
26.0.1
26.0.1
CVE-2026-34738 是 AVideo 视频处理管道中的一个安全漏洞,攻击者可以通过 overrideStatus 请求参数直接修改视频状态,绕过正常的审核流程。该漏洞允许任何具有上传权限的用户将视频状态设置为任意有效状态,例如“active”,从而直接发布视频,规避了管理员控制的审核和草稿工作流。该漏洞影响 AVideo 版本小于等于 26.0 的用户,目前尚未发布官方补丁。
AVideo 的 CVE-2026-34738 漏洞允许任何具有上传权限的用户直接将视频状态设置为“活动”(a),绕过管理员控制的审核和草稿工作流程。这是因为 setStatus() 方法会根据预定义的列表验证状态代码,但不会验证调用者是否有权设置特定状态。攻击者可以利用此漏洞发布不当或未经批准的内容,从而对平台的质量和安全性产生负面影响。缺乏可用的修复程序会加剧风险,因为该漏洞仍然容易受到利用。
AVideo 中具有上传权限的攻击者可以通过发送带有值“a”(活动)的 overrideStatus 请求来利用此漏洞。由于权限验证不足,该请求将在没有适当授权的情况下进行处理,允许攻击者绕过审核流程直接发布视频。漏洞的容易性在于请求的简单性和缺乏适当的访问控制。利用可能被自动化,从而能够大规模发布不需要的内容。
漏洞利用状态
EPSS
0.03% (7% 百分位)
CISA SSVC
由于没有提供官方修复程序,因此立即的缓解措施侧重于在 setStatus() 方法中实施更严格的访问控制。这包括在允许任何状态更改之前验证用户的身份和权限。建议彻底审核与视频状态管理相关的代码,以识别和纠正任何潜在的授权失败。此外,实施状态更改的详细日志记录系统可以帮助检测和响应利用尝试。在实施适当的解决方案之前,请考虑暂时禁用状态更改功能。
Actualizar AVideo a una versión posterior a la 26.0, una vez que se publique un parche. Como medida temporal, revisar y moderar manualmente todos los videos subidos para asegurar que el contenido sea apropiado antes de publicarlo.
漏洞分析和关键警报直接发送到您的邮箱。
它是 AVideo 中此特定漏洞的唯一标识符。
它可能允许发布不当或未经批准的内容,从而对平台质量产生影响。
目前,AVideo 没有提供官方修复程序。建议采取缓解措施。
实施更严格的访问控制并审核与视频状态管理相关的代码。
监控 AVideo 的通信渠道和 NVD 等漏洞数据库。
CVSS 向量