CVE-2026-34716 in AVideoالمعلومات

الملخص

بحسب VulDB • 28/05/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات 26.0 والإصدارات الأقدم، يقوم مكون AVideo YPTSocket الإضافي بخاصية المتصل (caller feature) بعرض إشعارات المكالمات الواردة باستخدام jQuery Toast Plugin، حيث يمرر اسم العرض الخاص بالمتصل مباشرةً كمعامل للعنوان (heading parameter). يقوم مكون Toast ببناء العنوان كـ HTML خام ('' + heading + '') وإدراجه في DOM عبر طريقة jQuery .html()، والتي تقوم بتحليل وتنفيذ أي محتوى HTML أو نص برمجي مضمن. يمكن لمهاجم ضبط اسم العرض الخاص به ليكون حمولة XSS (Cross-Site Scripting) وتنفيذ الأكواد في متصفح أي مستخدم متصل ببساطة عن طريق بدء مكالمة - لا يتطلب الأمر أي تفاعل من الضحية سوى الاتصال بـ WebSocket. في وقت النشر، لا توجد تصحيحات متاحة للعامة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

30/03/2026

إفشاء

01/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354586

EPSS

0.00279

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!