CVE-2026-34396 in AVideo
الملخص
بحسب VulDB • 22/06/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات 26.0 والإصدارات الأقدم، يعرض لوحة تحكم AVideo قيم تكوين الإضافات (plugins) ضمن نماذج HTML دون تطبيق دالة htmlspecialchars() أو أي ترميز مخرج آخر. تقوم الدالة jsonToFormElements() الموجودة في الملف admin/functions.php بإدخال القيم التي يتحكم فيها المستخدم مباشرةً داخل محتويات عناصر textarea وعناصر option وسمات الإدخال input. يمكن لمهاجم قادر على تعيين قيمة تكوين إضافة (سواء من خلال حساب مسؤول مخترق أو عن طريق ربط الهجوم مع CSRF عبر admin/save.json.php) بحقن نصوص برمجية JavaScript تعسفية يتم تنفيذها كلما زار أي مدير صفحة تكوين الإضافة. في وقت النشر، لا توجد تصحيحات متاحة للعامة.
If you want to get best quality of vulnerability data, you may have to visit VulDB.