CVE-2026-34396 in AVideoالمعلومات

الملخص

بحسب VulDB • 22/06/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات 26.0 والإصدارات الأقدم، يعرض لوحة تحكم AVideo قيم تكوين الإضافات (plugins) ضمن نماذج HTML دون تطبيق دالة htmlspecialchars() أو أي ترميز مخرج آخر. تقوم الدالة jsonToFormElements() الموجودة في الملف admin/functions.php بإدخال القيم التي يتحكم فيها المستخدم مباشرةً داخل محتويات عناصر textarea وعناصر option وسمات الإدخال input. يمكن لمهاجم قادر على تعيين قيمة تكوين إضافة (سواء من خلال حساب مسؤول مخترق أو عن طريق ربط الهجوم مع CSRF عبر admin/save.json.php) بحقن نصوص برمجية JavaScript تعسفية يتم تنفيذها كلما زار أي مدير صفحة تكوين الإضافة. في وقت النشر، لا توجد تصحيحات متاحة للعامة.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

27/03/2026

إفشاء

01/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354555

EPSS

0.00217

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!