WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 26.0 и более ранних версиях конечная точка конфигурации скина игрока по адресу admin/playerUpdate.json.php не проверяет токены CSRF. Таблица плагинов явно исключается из проверки безопасности ORM на основе домена с помощью ignoreTableSecurityCheck(), удаляя единственный другой уровень защиты.
В сочетании с файлами cookie SameSite=None POST из разных источников может изменить внешний вид видеоплеера на всей платформе.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions 26.0 and prior, the player skin configuration endpoint at admin/playerUpdate.json.php does not validate CSRF tokens. The plugins table is explicitly excluded from the ORM's domain-based security check via ignoreTableSecurityCheck(), removing the only other layer of defense. Combined with SameSite=None cookies, a cross-origin POST can modify the video player appearance on the entire platform.
Характеристики атаки
Последствия
Строка CVSS v3.1