WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 26.0 и более ранних объектах конечной точки AVideo/emailAllUsers.json.php администраторы могут отправлять электронные письма в формате HTML каждому зарегистрированному пользователю на платформе. Хотя конечная точка проверяет состояние сеанса администратора, она не проверяет токен CSRF.
Поскольку AVideo устанавливает SameSite=None для файлов cookie сеанса, POST-запрос между источниками со страницы, контролируемой злоумышленником, будет автоматически включать файл cookie сеанса администратора. Злоумышленник, который заманивает администратора на вредоносную страницу, может отправить произвольное электронное письмо в формате HTML каждому пользователю платформы, которое будет выглядеть как отправленное с законного SMTP-адреса экземпляра. На момент публикации общедоступных патчей нет.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions 26.0 and prior, the AVideo endpoint objects/emailAllUsers.json.php allows administrators to send HTML emails to every registered user on the platform. While the endpoint verifies admin session status, it does not validate a CSRF token. Because AVideo sets SameSite=None on session cookies, a cross-origin POST request from an attacker-controlled page will include the admin's session cookie automatically. An attacker who lures an admin to a malicious page can send an arbitrary HTML email to every user on the platform, appearing to originate from the instance's legitimate SMTP address. At time of publication, there are no publicly available patches.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|