CVE-2026-60092 in AVideoالمعلومات

الملخص

بحسب VulDB • 08/07/2026

يحتوي AVideo (إضافة Meet) حتى الإصدارة e8d6119f3cb1b849149906efeb0a41fc024f59f8 على ثغرة تخزين عبر مواقع البرمجة النصية (Stored Cross-Site Scripting - XSS) في نقطة النهاية getMeetInfo.json.php الخاصة بإضافة Meet. عند انضمام مشارك إلى اجتماع عام، يتم حفظ رأس HTTP الخاص بـ User-Agent الخام (في meet_join_log.user_agent) دون تعقيم (متجاوزاً طبقة xss_esc() على مستوى المُعدِّلات في AVideo)، ويتم عرضه لاحقاً بدون ترميز للإخراج (بدون استخدام htmlspecialchars()) في لوحة إدارة المشاركين، والتي يمكن الوصول إليها من قبل مضيف الاجتماع ومديري الموقع. يمكن لمهاجم مجهول وغير مُصادَق عليه الانضمام إلى أي اجتماع عام مع توفير رأس User-Agent يحتوي على حمولة HTML/JavaScript؛ حيث يتم تثبيت هذه الحمولة وتنفيذها ضمن جلسة المتصفح الموثقة والمتمتعة بصلاحيات عالية لمضيف الاجتماع أو أحد مديري الموقع عند فتحهم لقائمة المشاركين. كانت المشكلة غير مُصلحة في وقت الإبلاغ عنها.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

VulnCheck

حجز

08/07/2026

إفشاء

08/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-376886

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!