CVE-2026-34611

Nome do Software Vulnerável e Versões Afetadas AVideo versões 26.0 e anteriores

Descrição A plataforma AVideo, nas versões 26.0 e anteriores, apresenta uma falha no endpoint objects/emailAllUsers.json.php. Este endpoint permite que administradores enviem e-mails HTML para todos os usuários registrados. O endpoint verifica o status da sessão do administrador, mas não valida um token CSRF. Como o AVideo define SameSite=None nos cookies de sessão, uma solicitação POST de origem cruzada de uma página controlada por um invasor incluirá automaticamente o cookie de sessão do administrador. Um invasor pode induzir um administrador a visitar uma página maliciosa e, em seguida, enviar um e-mail HTML arbitrário para todos os usuários da plataforma, parecendo vir do endereço SMTP legítimo da instância.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.