CVE-2026-40925WWBN AVideo是一个开源视频平台。在29.0及之前版本中,由于`objects/configurationUpdate.json.php`接口缺乏CSRF保护机制,仅依赖`User::isAdmin()`进行权限验证。攻击者可以诱导已登录的管理员访问恶意页面,利用跨站请求伪造攻击在未经授权的情况下修改全局站点设置,包括编码器URL、SMTP凭据、网站HTML头部等敏感信息,从而接管网站或窃取数据。
该漏洞源于AVideo在处理配置更新请求时的安全设计缺陷。受影响版本的`objects/configurationUpdate.json.php`端点直接从`$_POST`全局变量中获取并持久化数十个站点设置,但仅检查用户是否为管理员(`User::isAdmin()`),未实施标准的CSRF防御措施。具体而言,代码未调用`forbidIfIsUntrustedRequest()`函数,未验证`globalToken`,也未检查请求头中的Origin或Referer字段。此外,为了支持跨源iframe嵌入,AVideo故意将`session.cookie_samesite`设置为`None`,这削弱了浏览器对跨站请求的天然防御。攻击者利用此漏洞,构造包含恶意POST请求的HTML页面。当管理员在保持登录状态访问该页面时,浏览器会自动发送携带有效Session Cookie的请求,导致服务器执行配置修改操作。这允许攻击者更改系统关键参数,如SMTP服务器设置(用于窃取邮件)、编码器地址、甚至注入恶意脚本到站点头部,实现进一步的控制。