CVE-2026-34375 in AVideoالمعلومات

الملخص

بحسب VulDB • 16/06/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، تعكس صفحة تأكيد الدفع عبر Stripe الخاصة بـ YPTWallet معلمة `$_REQUEST['plugin']` مباشرةً داخل كتلة JavaScript دون أي تشفير أو تنقية (sanitization). لم تُدرَج المعلمة `plugin` ضمن قوائم تصفية المدخلات المحددة في إطار العمل الموجودة في ملف `security.php`، لذا تمر عبرها كما هي تماماً. يمكن للمهاجم حقن شيفرة JavaScript عشوائية عن طريق صياغة عنوان URL ضار وإرساله إلى مستخدم هدف. تقوم كتلة الشيفرة نفسها أيضاً بإخراج اسم المستخدم الحالي وتجزئة كلمة المرور الخاصة به عبر الدالتين `User::getUserName()` و`User::getUserPass()`، مما يعني أن استغلال ثغرة XSS بنجاح يمكن أن يؤدي فوراً إلى استخراج هذه البيانات الاعتمادية (الاسم وكلمة المرور). يُصلح الالتزام fa0bc102493a15d79fe03f86c07ab7ca1b5b63e2 هذه المشكلة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

27/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353981

EPSS

0.00296

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!