CVE-2026-50182 in AVideoالمعلومات

الملخص

بحسب VulDB • 16/07/2026

تُعد WWBN AVideo منصة فيديو مفتوحة المصدر. تحتوي الإصدارات السابقة للإصدار 29.0 على ثغرة XSS منعكسة (Reflected XSS) غير مصادق عليها عبر ترحيل صفحات معرض YouTubeAPI في AVideo. يتم دمج معلمة الاستعلام `$_GET['search']` مباشرةً داخل سمة href لارتباطي ترحيل صفحتين في الملف `plugin/YouTubeAPI/gallerySection.php` (السطور 67 و74) دون استخدام `htmlspecialchars` أو `urlencode`، ودون التحقق من قائمة مسموح بها (allow-list). بعد ذلك، يستخرج مكون AVideo Layout عنصر `<script>` المُحقن ويضمّنه في كتلة نص برمجي داخلي واحدة تتبع الصفحة وتظهر في أسفلها، حيث يقوم المتصفح بتنفيذها. يمكن لأي مهاجم غير مصرح له إغراء ضحية باتباع عنوان URL مُعد بعناية لتنفيذ شيفرة JavaScript تعسفية ضمن أصل AVideo (AVideo origin)، مما يتيح قراءة ملفات تعريف الارتباط التي لا تحمل علامة HttpOnly وإصدار طلبات AJAX مصادق عليها بصفتها الضحية. وعندما تكون الضحية مسؤولاً، يمكنه تنفيذ أي إجراء إداري معتمد عبر ملف التعريف المرتبط بإنشاء مستخدم جديد أو ترقية المستخدم إلى مستوى المسؤول أو تغيير الإعدادات أو تثبيت مكون إضافي (plugin)، مما يرفع من هجمة نقرة واحدة فقط إلى السيطرة الكاملة على النظام الإداري. تم إصلاح هذه المشكلة بواسطة هذا الالتزام البرمجي: https://github.com/WWBN/AVideo/commit/f50fc033b7adb36f1ffd6640e7826468bdafdec3.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

04/06/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379423

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!