CVE-2026-49279 in AVideoالمعلومات

الملخص

بحسب VulDB • 16/07/2026

تُعد WWBN AVideo منصة فيديو مفتوحة المصدر. تحتوي الإصدارات 29.0 وما دونها على ثغرة XSS مخزنة (Stored XSS) عبر المعلمة autoEvalCodeOnHTML في معالج MessageSQLite WebSocket. يقوم المعالج MessageSQLite.php بإزالة autoEvalCodeOnHTML من $json['msg'] فقط، لكن الدالة msgToResourceId() تقرأ من $msg['json'] ذات الأولوية الأعلى. يمكن لمهاجم وضع حمولة XSS (payload) داخل المفتاح json بدلاً من msg، متجاوزاً بذلك عملية التطهير تماماً. يستطيع مهاجم مُصادق عليه تنفيذ شيفرة JavaScript تعسفية في جلسة المتصفح لأي مستخدم متصل عبر نظام الرسائل WebSocket، مما يتيح سرقة ملفات تعريف الارتباط للجلسة ورموز المصادقة، والاستيلاء على الحسابات عن طريق اختطاف الجلسة (Session Hijacking)، وربثها مع CSRF لتنفيذ إجراءات المسؤول نيابةً عن الضحية، وذلك في تكوين الخلفية SQLite WebSocket الافتراضي. توجد تصحيح لهذه المشكلة لم يتم إصداره رسمياً بعد؛ انظر https://github.com/WWBN/AVideo/commit/3e0b3ce2bfa766183ff0ae227439394db57b1a23.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

28/05/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379424

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!