平台
php
组件
avideo
修复版本
26.0.1
CVE-2026-35180 是 WWBN AVideo 平台中发现的一项跨站请求伪造 (CSRF) 漏洞。攻击者可以利用此漏洞,通过恶意请求覆盖平台的 Logo 文件,从而篡改网站外观。该漏洞影响 AVideo 版本 1.0.0 到 26.0 之间。已发布 26.1 版本修复了此问题。
该 CSRF 漏洞允许攻击者在受影响的 AVideo 平台上修改网站 Logo。由于 admin/customizesettingsnativeUpdate.json.php 端点缺乏 CSRF 令牌验证,攻击者可以构造恶意 POST 请求,将攻击者控制的内容写入 Logo 文件。结合 SameSite=None 策略,攻击者可以跨域发送请求,成功覆盖 Logo。虽然 Logo 篡改本身可能不会导致数据泄露或系统入侵,但它可能被用于进行钓鱼攻击,损害平台声誉,或作为更复杂攻击的初步步骤。
目前尚未公开发现针对 CVE-2026-35180 的公开利用程序 (PoC)。该漏洞已添加到 CISA KEV 目录,表明其具有中等概率被利用。由于该漏洞涉及 CSRF,攻击者可能通过社交工程或恶意网站来诱导用户执行恶意请求。建议持续监控 AVideo 平台的安全态势,并及时响应任何可疑活动。
Organizations and individuals using WWBN AVideo versions 1.0.0 through 26.0 are at risk, particularly those with publicly accessible admin interfaces or those who have not implemented robust access controls to the admin panel. Shared hosting environments where multiple users share the same AVideo instance are also at increased risk.
• php: Examine access logs for POST requests to /admin/customizesettingsnativeUpdate.json.php originating from unexpected sources or without proper CSRF tokens.
grep -i 'POST /admin/customize_settings_nativeUpdate.json.php' access.log | grep -i 'Referer:'disclosure
漏洞利用状态
EPSS
0.02% (3% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2026-35180,首要措施是立即升级 AVideo 平台至 26.1 版本或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:实施严格的输入验证和输出编码,以防止恶意数据写入文件系统。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以检测和阻止包含恶意 CSRF 令牌的请求。应审查并加强 AVideo 平台的访问控制策略,限制对 admin/customizesettingsnativeUpdate.json.php 端点的访问权限。升级后,请验证 Logo 文件是否已恢复正常,并检查系统日志中是否存在异常活动。
将 AVideo 更新到 26.1 版本或更高版本以缓解 CSRF 漏洞。此更新在 Site Customization 端点上实施了 CSRF 令牌验证,从而防止 Logo 被攻击者控制的内容覆盖。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-35180 是 WWBN AVideo 平台中发现的一项跨站请求伪造 (CSRF) 漏洞,允许攻击者覆盖网站 Logo。
如果您正在使用 WWBN AVideo 的 1.0.0 到 26.0 版本,则您可能受到此漏洞的影响。
升级至 WWBN AVideo 26.1 版本或更高版本以修复此漏洞。
目前尚未公开发现针对 CVE-2026-35180 的公开利用程序,但已添加到 CISA KEV 目录,表明其具有中等概率被利用。
请访问 WWBN AVideo 官方网站或 GitHub 仓库,查找有关 CVE-2026-35180 的安全公告。