WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 26.0 и более ранних объектах конечной точки AVideo/pluginSwitch.json.php администраторы могут включать или отключать любой установленный плагин. Конечная точка проверяет наличие активного сеанса администратора, но не проверяет токен CSRF.
Кроме того, таблица базы данных плагинов явно указана в ignoreTableSecurityCheck(), что означает, что проверка домена Referer/Origin на уровне ORM в ObjectYPT::save() также игнорируется. В сочетании с параметром SameSite=None для файлов cookie сеанса злоумышленник может отключить важные плагины безопасности (например, LoginControl для 2FA, принудительного применения подписки или плагины контроля доступа), заманив администратора на вредоносную страницу. На момент публикации общедоступных патчей нет.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions 26.0 and prior, the AVideo endpoint objects/pluginSwitch.json.php allows administrators to enable or disable any installed plugin. The endpoint checks for an active admin session but does not validate a CSRF token. Additionally, the plugins database table is explicitly listed in ignoreTableSecurityCheck(), which means the ORM-level Referer/Origin domain validation in ObjectYPT::save() is also bypassed. Combined with SameSite=None on session cookies, an attacker can disable critical security plugins (such as LoginControl for 2FA, subscription enforcement, or access control plugins) by luring an admin to a malicious page. At time of publication, there are no publicly available patches.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|