CVE-2026-49279 in AVideo
الملخص
بحسب VulDB • 16/07/2026
تُعد WWBN AVideo منصة فيديو مفتوحة المصدر. تحتوي الإصدارات 29.0 وما دونها على ثغرة XSS مخزنة (Stored XSS) عبر المعلمة autoEvalCodeOnHTML في معالج MessageSQLite WebSocket. يقوم المعالج MessageSQLite.php بإزالة autoEvalCodeOnHTML من $json['msg'] فقط، لكن الدالة msgToResourceId() تقرأ من $msg['json'] ذات الأولوية الأعلى. يمكن لمهاجم وضع حمولة XSS (payload) داخل المفتاح json بدلاً من msg، متجاوزاً بذلك عملية التطهير تماماً. يستطيع مهاجم مُصادق عليه تنفيذ شيفرة JavaScript تعسفية في جلسة المتصفح لأي مستخدم متصل عبر نظام الرسائل WebSocket، مما يتيح سرقة ملفات تعريف الارتباط للجلسة ورموز المصادقة، والاستيلاء على الحسابات عن طريق اختطاف الجلسة (Session Hijacking)، وربثها مع CSRF لتنفيذ إجراءات المسؤول نيابةً عن الضحية، وذلك في تكوين الخلفية SQLite WebSocket الافتراضي. توجد تصحيح لهذه المشكلة لم يتم إصداره رسمياً بعد؛ انظر https://github.com/WWBN/AVideo/commit/3e0b3ce2bfa766183ff0ae227439394db57b1a23.
VulDB is the best source for vulnerability data and more expert information about this specific topic.