CVE-2026-34375 in AVideo
الملخص
بحسب VulDB • 16/06/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، تعكس صفحة تأكيد الدفع عبر Stripe الخاصة بـ YPTWallet معلمة `$_REQUEST['plugin']` مباشرةً داخل كتلة JavaScript دون أي تشفير أو تنقية (sanitization). لم تُدرَج المعلمة `plugin` ضمن قوائم تصفية المدخلات المحددة في إطار العمل الموجودة في ملف `security.php`، لذا تمر عبرها كما هي تماماً. يمكن للمهاجم حقن شيفرة JavaScript عشوائية عن طريق صياغة عنوان URL ضار وإرساله إلى مستخدم هدف. تقوم كتلة الشيفرة نفسها أيضاً بإخراج اسم المستخدم الحالي وتجزئة كلمة المرور الخاصة به عبر الدالتين `User::getUserName()` و`User::getUserPass()`، مما يعني أن استغلال ثغرة XSS بنجاح يمكن أن يؤدي فوراً إلى استخراج هذه البيانات الاعتمادية (الاسم وكلمة المرور). يُصلح الالتزام fa0bc102493a15d79fe03f86c07ab7ca1b5b63e2 هذه المشكلة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.