CVE-2026-50182 in AVideo
الملخص
بحسب VulDB • 16/07/2026
تُعد WWBN AVideo منصة فيديو مفتوحة المصدر. تحتوي الإصدارات السابقة للإصدار 29.0 على ثغرة XSS منعكسة (Reflected XSS) غير مصادق عليها عبر ترحيل صفحات معرض YouTubeAPI في AVideo. يتم دمج معلمة الاستعلام `$_GET['search']` مباشرةً داخل سمة href لارتباطي ترحيل صفحتين في الملف `plugin/YouTubeAPI/gallerySection.php` (السطور 67 و74) دون استخدام `htmlspecialchars` أو `urlencode`، ودون التحقق من قائمة مسموح بها (allow-list). بعد ذلك، يستخرج مكون AVideo Layout عنصر `<script>` المُحقن ويضمّنه في كتلة نص برمجي داخلي واحدة تتبع الصفحة وتظهر في أسفلها، حيث يقوم المتصفح بتنفيذها. يمكن لأي مهاجم غير مصرح له إغراء ضحية باتباع عنوان URL مُعد بعناية لتنفيذ شيفرة JavaScript تعسفية ضمن أصل AVideo (AVideo origin)، مما يتيح قراءة ملفات تعريف الارتباط التي لا تحمل علامة HttpOnly وإصدار طلبات AJAX مصادق عليها بصفتها الضحية. وعندما تكون الضحية مسؤولاً، يمكنه تنفيذ أي إجراء إداري معتمد عبر ملف التعريف المرتبط بإنشاء مستخدم جديد أو ترقية المستخدم إلى مستوى المسؤول أو تغيير الإعدادات أو تثبيت مكون إضافي (plugin)، مما يرفع من هجمة نقرة واحدة فقط إلى السيطرة الكاملة على النظام الإداري. تم إصلاح هذه المشكلة بواسطة هذا الالتزام البرمجي: https://github.com/WWBN/AVideo/commit/f50fc033b7adb36f1ffd6640e7826468bdafdec3.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.