平台
php
组件
avideo
修复版本
29.0.1
CVE-2026-40925 describes a Cross-Site Request Forgery (CSRF) vulnerability within the objects/configurationUpdate.json.php endpoint of AVideo. This flaw allows an attacker to modify critical site configurations, potentially gaining unauthorized access and control. The vulnerability impacts AVideo versions 1.0.0 up to and including 29.0, and a fix is available in version 29.1.
AVideo 中的 CVE-2026-40925 漏洞允许攻击者修改全局网站设置。objects/configurationUpdate.json.php 文件(也可通过 /updateConfig 访问)接收来自 $POST 数据的多个配置设置,但仅检查用户是否为管理员 (User::isAdmin())。缺乏额外的保护措施,例如全局令牌验证、Origin/Referer 标头验证或 forbidIfIsUntrustedRequest() 函数,允许攻击者利用 session.cookiesamesite=None 设置(为支持跨域 iframe 嵌入而实现),通过攻击者控制的页面修改网站配置,该页面由经过身份验证的管理员访问。这可能导致功能操作、恶意代码注入或敏感数据泄露。
该漏洞是通过创建一个恶意网页来利用的,该网页诱使经过身份验证的管理员向 /updateConfig 端点发送带有修改后的配置数据的 POST 请求。由于 session.cookie_samesite=None 设置,此请求可能来自 AVideo 网站不同的域,从而便于利用。攻击者需要访问管理员帐户才能执行此漏洞。利用的复杂性较低,因为它只需要创建一个网页并诱使管理员访问它。
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
为了缓解 CVE-2026-40925,建议将 AVideo 更新到 29.1 或更高版本,其中包含修复程序。此外,建议实施额外的安全措施,例如严格验证接收到的 $_POST 数据、生成和验证 CSRF(跨站请求伪造)令牌以保护配置更新请求,以及验证 Origin/Referer 标头以将请求限制为受信任的域。审查和加强密码安全策略和用户身份验证对于防止未经授权的访问也至关重要。
Actualice AVideo a la versión 29.1 o superior para mitigar la vulnerabilidad. Esta actualización implementa una validación adecuada de las solicitudes POST, previniendo la modificación no autorizada de la configuración del sitio a través de ataques CSRF.
漏洞分析和关键警报直接发送到您的邮箱。
CSRF(跨站请求伪造)是一种攻击,它迫使经过身份验证的用户在 Web 应用程序中执行不受欢迎的操作。实施 CSRF 令牌有助于防止这种类型的攻击。
如果您使用的是 AVideo 29.1 之前的版本,则您的网站容易受到攻击。您可以在网站的管理页面上检查您的版本。
实施输入验证、CSRF 令牌和 Origin/Referer 验证可以提高您网站对其他攻击的整体安全性。
目前没有用于检测此漏洞的特定工具,但建议定期进行渗透测试和安全审计。
如果您怀疑您的网站已被破坏,您应该更改所有管理员密码、检查网站配置是否存在未经授权的修改,并从干净的备份中恢复。
CVSS 向量