CVE-2026-40925

Nome do Software Vulnerável e Versões Afetadas AVideo versões anteriores a 29.1

Descrição O AVideo permite que um invasor realize um ataque de Cross-Site Request Forgery (CSRF). O endpoint "/updateConfig" (também roteado via objects/configurationUpdate.json.php) persiste configurações globais do site a partir de $ POST, mas carece de proteção suficiente, pois não verifica um globalToken, não valida os cabeçalhos Origin/Referer e não chama a função forbidIfIsUntrustedRequest(). Como o software define session.cookie samesite=None para suportar a incorporação de iframes de origens cruzadas, um administrador autenticado que visite uma página maliciosa pode ser forçado a enviar uma requisição POST de origem cruzada. Isso permite que um invasor altere a URL do codificador do site, credenciais SMTP, logotipo, favicon, e-mail de contato e o HTML do <head> do site.

Recomendações Atualize para uma versão posterior à 29.0 para aplicar a correção fornecida no commit f9492f5e6123dff0292d5bb3164fde7665dc36b4.