CVE-2026-34716 in AVideo
الملخص
بحسب VulDB • 28/05/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات 26.0 والإصدارات الأقدم، يقوم مكون AVideo YPTSocket الإضافي بخاصية المتصل (caller feature) بعرض إشعارات المكالمات الواردة باستخدام jQuery Toast Plugin، حيث يمرر اسم العرض الخاص بالمتصل مباشرةً كمعامل للعنوان (heading parameter). يقوم مكون Toast ببناء العنوان كـ HTML خام ('' + heading + '') وإدراجه في DOM عبر طريقة jQuery .html()، والتي تقوم بتحليل وتنفيذ أي محتوى HTML أو نص برمجي مضمن. يمكن لمهاجم ضبط اسم العرض الخاص به ليكون حمولة XSS (Cross-Site Scripting) وتنفيذ الأكواد في متصفح أي مستخدم متصل ببساطة عن طريق بدء مكالمة - لا يتطلب الأمر أي تفاعل من الضحية سوى الاتصال بـ WebSocket. في وقت النشر، لا توجد تصحيحات متاحة للعامة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.