CVE-2026-45610

Nome do Software Vulnerável e Versões Afetadas AVideo versões 29.0 e anteriores

Descrição Um problema de falsificação de solicitação cross-site (CSRF) existe na funcionalidade de alternância de 2FA. O endpoint "plugin/LoginControl/set.json.php" aceita solicitações POST com os parâmetros type=set2FA e value=false para desativar a autenticação de dois fatores de um usuário autenticado na sessão através da função LoginControl::setUser2FA(). O endpoint não implementa verificações de segurança necessárias, como a chamada forbidIfIsUntrustedRequest(), a verificação isTokenValid(), a aplicação de X-CSRF-Token/SameSite ou uma etapa de reautenticação. Consequentemente, um invasor pode hospedar uma página maliciosa de origem cruzada que, ao ser visitada por um usuário logado, envia automaticamente uma solicitação POST para desativar o 2FA da vítima, tornando a conta suscetível a ataques de preenchimento de credenciais (credential stuffing) ou phishing.

Recomendações Atualize para uma versão onde o endpoint "plugin/LoginControl/set.json.php" implemente o controle forbidIfIsUntrustedRequest() e exija reautenticação (como um código 2FA ou solicitação de senha) ao desativar o 2FA. Como medida paliativa temporária, restrinja o acesso ao endpoint "plugin/LoginControl/set.json.php" ou desative o plugin LoginControl até que uma correção seja aplicada.