WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно конечная точка `plugin/Permissions/setPermission.json.php` принимает параметры GET для операции изменения состояния, которая изменяет разрешения группы пользователей. Конечная точка не имеет проверки токена CSRF, и приложение явно устанавливает `session.cookie_samesite=None` для файлов cookie сеанса.
Это позволяет злоумышленнику, не прошедшему аутентификацию, создать страницу с тегами `<img>`, которая при посещении администратором автоматически предоставляет произвольные разрешения группе пользователей злоумышленника, что повышает уровень злоумышленника до доступа, близкого к администратору. На момент публикации известных исправленных версий нет.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the `plugin/Permissions/setPermission.json.php` endpoint accepts GET parameters for a state-changing operation that modifies user group permissions. The endpoint has no CSRF token validation, and the application explicitly sets `session.cookie_samesite=None` on session cookies. This allows an unauthenticated attacker to craft a page with `<img>` tags that, when visited by an admin, silently grant arbitrary permissions to the attacker's user group — escalating the attacker to near-admin access. As of time of publication, no known patched versions are available.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|