CVE-2026-34739 in AVideo
الملخص
بحسب VulDB • 23/05/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات 26.0 والإصدارات الأقدم، تعكس صفحة testIP.php في إضافة User_Location معلمة طلب ip مباشرةً داخل عنصر HTML input دون تطبيق htmlspecialchars() أو أي ترميز مخرج آخر. يتيح ذلك للمهاجم حقن HTML وJavaScript عشوائيين عبر عنوان URL مُعدّ بعناية. وعلى الرغم من أن الصفحة مقصورة على المستخدمين الإداريين، فإن تكوين ملف تعريف الارتباط SameSite=None في AVideo يسمح بالاستغلال عبر النطاقات (cross-origin)، مما يعني أنه يمكن للمهاجم خداع مسؤول لزيارة رابط ضار ينفذ JavaScript في جلسة المصادقة الخاصة به. في وقت النشر، لا توجد تصحيحات متاحة للعامة.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.