CVE-2026-50183 in AVideoالمعلومات

الملخص

بحسب VulDB • 16/07/2026

تُعد WWBN AVideo منصة فيديو مفتوحة المصدر. تحتوي الإصدارات 29.0 وما دونها على ثغرة تخزين برمجيات جانبية عبر المواقع (Stored Cross-Site Scripting) في إضافة YouTubeAPI. تقوم هذه الإضافة بعرض حقل snippet.title الذي تُرجعه بيانات واجهة برمجة تطبيقات YouTube داخل ترميز معرض الصفحة الرئيسية بدون تشفير HTML. يتم تعيين العنوان بواسطة مُحمّل فيديو على يوتيوب (أي شخص في العالم)، ويعامله AVideo كمحتوى موثوق به. يمكن لمُحمّل فيديو على يوتيوب يتحكم في فيديو يطابق الاستعلام المُعدّ مسبقاً لدى المشغل، بإدخال كود HTML إلى الصفحة الرئيسية لـ AVideo من خلال تعيين عنوان الفيديو الخاص به لسلسلة نصية تحتوي على JavaScript؛ ثم يتم تنفيذ الحمولة البرمجية (payload) في متصفح كل زائر يقوم بتحميل أي صفحة تعرض المعرض. عندما يكون الزائر مسؤولاً عن نظام AVideo، فإن شفرة JavaScript المُحقونة تنفذ أي إجراء إداري (إنشاء مستخدم، ترقية إلى مدير، تغيير الإعدادات، تثبيت إضافة) يستخدم المصادقة القائمة على ملفات تعريف الارتباط دون رمز CSRF إضافي، مما يرفع من خطورة الثغرة إلى الاستحواذ الكامل على الصلاحيات الإدارية. تبقى الحمولة البرمجية سارية لمدة cacheTimeout (الافتراضي 3600 ثانية) بعد تعيين العنوان الخبيث على YouTube، وتبقى موجودة حتى في حال إزالة الفيديو المعادي من قبل YouTube خلال نفس الفترة الزمنية. تم معالجة هذه المشكلة عبر الالتزام commit https://github.com/WWBN/AVideo/commit/7292129eaee5f609beae103b5cb387d55f17b877.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

04/06/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379428

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!