目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-34394— WWBN AVideo 跨站请求伪造漏洞

CVSS 8.1 · High EPSS 0.02% · P5
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-34394の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
AVideo: CSRF on Admin Plugin Configuration Enables Payment Credential Hijacking
ソース: NVD (National Vulnerability Database)
脆弱性説明
WWBN AVideo is an open source video platform. In versions 26.0 and prior, AVideo's admin plugin configuration endpoint (admin/save.json.php) lacks any CSRF token validation. There is no call to isGlobalTokenValid() or verifyToken() before processing the request. Combined with the application's explicit SameSite=None cookie policy, an attacker can forge cross-origin POST requests from a malicious page to overwrite arbitrary plugin settings on a victim administrator's session. Because the plugins table is included in the ignoreTableSecurityCheck() array in objects/Object.php, standard table-level access controls are also bypassed. This allows a complete takeover of platform functionality by reconfiguring payment processors, authentication providers, cloud storage credentials, and more. At time of publication, there are no publicly available patches.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
跨站请求伪造(CSRF)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
WWBN AVideo 跨站请求伪造漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
WWBN AVideo是WWBN团队的一个由PHP编写的视频平台建站系统。 WWBN AVideo 26.0及之前版本存在跨站请求伪造漏洞,该漏洞源于管理员插件配置端点缺少CSRF令牌验证,可能导致跨站请求伪造攻击并接管平台功能。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
WWBNAVideo <= 26.0 -

II. CVE-2026-34394の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-34394のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · WWBN · 2026-03-31 · 13 CVEs total

CVE-2026-347317.5 HIGHAVideo: Unauthenticated Live Stream Termination via RTMP Callback on_publish_done.php
CVE-2026-343956.5 MEDIUMAVideo: Mass User PII Disclosure via Missing Authorization in YPTWallet users.json.php
CVE-2026-346136.5 MEDIUMAVideo: CSRF on Plugin Enable/Disable Endpoint Allows Disabling Security Plugins
CVE-2026-347376.5 MEDIUMAVideo: Arbitrary Stripe Subscription Cancellation via Debug Endpoint and retrieveSubscrip
CVE-2026-346116.5 MEDIUMAVideo: CSRF on emailAllUsers.json.php Enables Mass Phishing Email to All Users
CVE-2026-347406.5 MEDIUMAVideo: Stored SSRF via Video EPG Link Missing isSSRFSafeURL() Validation
CVE-2026-347336.5 MEDIUMAVideo: Unauthenticated File Deletion via PHP Operator Precedence Bug in CLI Guard
CVE-2026-347166.4 MEDIUMAVideo: DOM XSS via Unsanitized Display Name in WebSocket Call Notification
CVE-2026-347396.1 MEDIUMAVideo: Reflected XSS via Unescaped ip Parameter in User_Location testIP.php
CVE-2026-343966.1 MEDIUMAVideo: Stored XSS via Unescaped Plugin Configuration Values in Admin Panel
CVE-2026-347325.3 MEDIUMAVideo: Missing Authentication in CreatePlugin list.json.php Template Affects 21 Endpoints
CVE-2026-347384.3 MEDIUMAVideo: Video Publishing Workflow Bypass via Unauthorized overrideStatus Request Parameter

IV. 関連脆弱性

同じ製品: AVideo
同じベンダー: WWBN
同じ弱点: CWE-352

V. CVE-2026-34394へのコメント

まだコメントはありません

コメントを残す