CVE-2026-54458 in AVideoالمعلومات

الملخص

بحسب VulDB • 16/07/2026

تُعد WWBN AVideo منصة فيديو مفتوحة المصدر. تحتوي الإصدارات السابقة للإصدار 29.0 على ثغرة تخزين عبر مواقع البرمجة النصية (Stored DOM Cross-Site Scripting) في مكون YPTSocket الإضافي. يمكن لأي مهاجم عن بُعد غير مُصادق عليه تنفيذ شيفرة JavaScript تعسفية ضمن نطاق الموقع الأصلي للمُصادَق عليها لكل مسؤول يقوم حالياً بعرض صفحة تعرض لوحة تصحيح أخطاء المستخدمين المتصلين عبر YPTSocket. يُصدر الملف plugin/YPTSocket/getWebSocket.json.php رمز اتصال WebSocket موقعاً (signed) لأي متصل مجهول الهوية، بينما يقرأ الدالان MessageSQLiteV2::onOpen الموجودان في ملف plugin/YPTSocket/MessageSQLiteV2.php عند الأسطر 91 و110 معلمتي الاستعلام webSocketSelfURI وpage_title المتحكم بهما من قبل المهاجمين من عنوان URL لاتصال WebSocket دون أي تحقق أو صحة (validation). يتم تثبيت كلتا القيمتين في جدول اتصالات SQLite الموجود بالذاكرة ويتم بثهما داخل مصفوفة users_id_online المرسلة إلى كل عميل متصل؛ وعلى جانب العميل، يقوم مكون plugin/YPTSocket/script.js::updateSocketUserCard بتضمين قيمة page_title المُبثّة ضمن قالب نصي HTML (HTML template literal) يتم تمريره إلى دالة jQuery $.append(html)، والتي تقوم بتحليل بايتات المهاجم وتحويلها إلى عقد DOM حية تتضمن عناصر <img> مع معالجات أحداث مضمنة. يمكن للمهاجمين الناجحين قراءة ملفات تعريف الارتباط غير الموضوعة ضمن نطاق HttpOnly ورمز CSRF المعروض في لوحة تحكم المسؤول، وإصدار طلبات مُصادَق عليها لأي نقطة نهاية خاصة بالمسؤولين فقط، واستخراج (exfiltrate) هيكل DOM الخاص بلوحة تحكم المسؤول، وتسلسل هذه الهجمات مع أي عملية تغيير (mutation) تتم ضمن سياق المسؤول. عندما يكون الضحية مسؤولاً عن AVideo، يحول المهاجم اتصال WebSocket مجهول الهوية واحدًا إلى سيطرة إدارية كاملة عبر جلسة عمل المسؤول نفسه. تم إصلاح هذه المشكلة بواسطة https://github.com/WWBN/AVideo/commit/8be71e53ccbe9b84b30870db386fb4d2b11e1c16.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

15/06/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379435

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!