WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка saveSort.json.php плагина Gallery передает несанкционированный пользовательский ввод из значений массива $_REQUEST['sections']` непосредственно в функцию PHP `eval()`. Хотя конечная точка закрыта за `User::isAdmin()`, она не имеет проверки токена CSRF.
В сочетании с явной конфигурацией файлов cookie сеанса `SameSite=None` в AVideo злоумышленник может использовать это посредством подделки межсайтовых запросов для достижения удаленного выполнения кода без аутентификации - для этого требуется только, чтобы администратор посетил страницу, контролируемую злоумышленником. Коммит 087dab8841f8bdb54be184105ef19b47c5698fcb содержит патч.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the Gallery plugin's `saveSort.json.php` endpoint passes unsanitized user input from `$_REQUEST['sections']` array values directly into PHP's `eval()` function. While the endpoint is gated behind `User::isAdmin()`, it has no CSRF token validation. Combined with AVideo's explicit `SameSite=None` session cookie configuration, an attacker can exploit this via cross-site request forgery to achieve unauthenticated remote code execution — requiring only that an admin visits an attacker-controlled page. Commit 087dab8841f8bdb54be184105ef19b47c5698fcb contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1