WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка `objects/pluginImport.json.php` позволяет пользователям-администраторам загружать и устанавливать ZIP-файлы плагинов, содержащие исполняемый код PHP, но не имеет какой-либо защиты CSRF. В сочетании с тем, что приложение явно устанавливает `session.cookie_samesite = 'None'` для HTTPS-соединений, неаутентифицированный злоумышленник может создать страницу, которая при посещении аутентифицированным администратором автоматически загружает вредоносный плагин, содержащий веб-оболочку PHP, обеспечивая удаленное выполнение кода на сервере.
Коммит d1bc1695edd9ad4468a48cea0df6cd943a2635f3 содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `objects/pluginImport.json.php` endpoint allows admin users to upload and install plugin ZIP files containing executable PHP code, but lacks any CSRF protection. Combined with the application explicitly setting `session.cookie_samesite = 'None'` for HTTPS connections, an unauthenticated attacker can craft a page that, when visited by an authenticated admin, silently uploads a malicious plugin containing a PHP webshell, achieving Remote Code Execution on the server. Commit d1bc1695edd9ad4468a48cea0df6cd943a2635f3 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1