CVE-2026-34739 in AVideoالمعلومات

الملخص

بحسب VulDB • 23/05/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات 26.0 والإصدارات الأقدم، تعكس صفحة testIP.php في إضافة User_Location معلمة طلب ip مباشرةً داخل عنصر HTML input دون تطبيق htmlspecialchars() أو أي ترميز مخرج آخر. يتيح ذلك للمهاجم حقن HTML وJavaScript عشوائيين عبر عنوان URL مُعدّ بعناية. وعلى الرغم من أن الصفحة مقصورة على المستخدمين الإداريين، فإن تكوين ملف تعريف الارتباط SameSite=None في AVideo يسمح بالاستغلال عبر النطاقات (cross-origin)، مما يعني أنه يمكن للمهاجم خداع مسؤول لزيارة رابط ضار ينفذ JavaScript في جلسة المصادقة الخاصة به. في وقت النشر، لا توجد تصحيحات متاحة للعامة.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

30/03/2026

إفشاء

01/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354551

EPSS

0.00220

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!