CVE-2026-43877

Nome do Software Vulnerável e Versões Afetadas WWBN AVideo versões anteriores a 29.0

Descrição Um problema de Cross-Site Request Forgery (CSRF) existe no endpoint legado de foto de perfil "objects/userSavePhoto.php". O endpoint aceita um parâmetro POST base64 imgBase64 e grava os bytes decodificados no servidor sem realizar a validação de token CSRF, verificações de Origin/Referer ou validação MIME dos bytes decodificados. Isso ocorre porque o endpoint não termina em ".json.php", excluindo-o do mecanismo global autoCSRFGuard. Além disso, a política de cookies padrão é definida como SameSite=None; Secure em HTTPS, permitindo que os navegadores anexem cookies de sessão a solicitações POST entre sites.

Um invasor pode atrair um usuário autenticado para uma página maliciosa para sobrescrever a foto de perfil do usuário com bytes arbitrários. Essa ação também aciona a função clearCache(true) em todo o site a cada solicitação forjada, o que pode levar à invalidação global do cache e a uma possível pressão no disco devido à falta de limites de tamanho nos dados carregados.

Recomendações Atualize para uma versão que inclua o commit 9c38468041505e637101c5943c5370c68f48e3ac. Como medida paliativa temporária, restrinja o acesso ao endpoint "objects/userSavePhoto.php" ou ao parâmetro imgBase64 até que a atualização seja aplicada.