CVE-2026-35181WWBN AVideo是一个开源视频平台。在26.0及更早版本中,其播放器外观配置端点缺乏CSRF令牌验证机制。同时,由于ORM的安全检查被显式绕过,且系统使用SameSite=None属性的Cookie,攻击者可以通过构造跨源POST请求,诱导用户进行交互,从而修改整个平台的视频播放器外观,造成完整性风险。
该漏洞的核心在于CSRF防护的缺失以及不安全的配置。首先,受影响版本的AVideo平台在`admin/playerUpdate.json.php`端点处理播放器皮肤更新请求时,未验证CSRF令牌,无法区分请求是否由用户主动发起。其次,ORM层的安全机制通过`ignoreTableSecurityCheck()`函数对plugins表进行了显式排除,移除了基于域的安全检查这一关键防御层。最后,由于系统配置使用了`SameSite=None`属性的Cookie,浏览器不会阻止跨站点发送的Cookie。结合以上因素,攻击者可以构造恶意页面,诱导已登录用户访问,利用受害者的浏览器会话向目标端点发送跨域POST请求,从而篡改平台播放器的全局外观设置。