CVE-2026-43880

Nome do Software Vulnerável e Versões Afetadas AVideo versões anteriores a 29.0

Descrição Existe um problema no endpoint 'objects/sendEmail.json.php' onde a ausência do parâmetro contactForm permite que usuários não autenticados enviem e-mails para destinatários arbitrários. Quando este parâmetro é omitido, o sistema define a variável $sendTo para um e-mail fornecido pelo invasor e utiliza o e-mail de contato do próprio site como remetente (From/Reply-To). Como o endpoint está listado como uma ação de escrita pública em 'objects/functionsSecurity.php', ele não requer autenticação ou token CSRF. Um invasor que resolva um captcha pode forçar a infraestrutura SMTP do site a enviar e-mails compostos que parecem originar-se do endereço legítimo do site, garantindo que passem pelas verificações SPF, DKIM e DMARC. Isso pode ser utilizado para phishing direcionado e falsificação de marca.

Recomendações Atualize para uma versão que contenha o commit 4e3709895857a5857f0edb46b0ee984de0d9e1a2. Como medida paliativa temporária, restrinja o acesso ao endpoint 'objects/sendEmail.json.php' ou garanta que o parâmetro contactForm seja obrigatório para todas as solicitações.