CVE-2026-35181

Nome do Software Vulnerável e Versões Afetadas AVideo versões 26.0 e anteriores

Descrição O endpoint de configuração da skin do player em /admin/playerUpdate.json.php não valida tokens CSRF. A tabela plugins é explicitamente excluída da verificação de segurança baseada em domínio do ORM via ignoreTableSecurityCheck(), removendo uma camada de defesa. Combinado com cookies SameSite=None, um POST de origem cruzada pode modificar a aparência do player de vídeo em toda a plataforma. A vulnerabilidade reside em definir diretamente a skin do player a partir dos dados POST na linha 17 de admin/playerUpdate.json.php usando $pluginDO->skin = $ POST['skin']; sem nenhuma validação CSRF. A função ignoreTableSecurityCheck() ignora a proteção de nível ORM para a configuração do plugin. Os cookies de sessão do AVideo são configurados com SameSite=None, permitindo que o cookie de sessão autenticado do administrador seja incluído em solicitações POST de origem cruzada.

Recomendações Adicione a validação de token CSRF em /admin/playerUpdate.json.php, antes de processar os dados POST:

// admin/playerUpdate.json.php (antes da linha 17)
if (!isGlobalTokenValid()) {
  die('{"error":"Token CSRF inválido"}');
}