CVE-2026-33500 in AVideoinfo

Zusammenfassung

von VulDB • 29.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 führte die Korrektur für CVE-2026-27568 (GHSA-rcqw-6466-3mv7) zur Einführung einer benutzerdefinierten `ParsedownSafeWithLinks`-Klasse, die rohes HTML `<a>`- und `<img>`-Tags in Kommentaren bereinigt, jedoch Parsedowns `safeMode` explizit deaktiviert. Dies erzeugt eine Umgehung: Die Markdown-Link-Syntax `[text](javascript:alert(1))` wird von der `inlineLink()`-Methode von Parsedown verarbeitet, die nicht die benutzerdefinierte `sanitizeATag()`-Bereinigung durchläuft (die nur rohe HTML-Tags behandelt). Bei deaktiviertem `safeMode` ist auch die integrierte `javascript:`-URI-Filterung von Parsedown (`sanitiseElement()`/`filterUnsafeUrlInAttribute()`) inaktiv. Ein Angreifer kann über Markdown-Links in Kommentaren eine gespeicherte XSS-Schwachstelle (Stored XSS) injizieren. Der Commit 3ae02fa240939dbefc5949d64f05790fd25d728d enthält einen Patch.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

20.03.2026

Veröffentlichung

23.03.2026

Moderieren

akzeptiert

Eintrag

VDB-352548

CPE

bereit

CWE

CWE-79 (bestätigt)

CVSS

5.4 (CNA)

EPSS

0.00016

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33500
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33500
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33500/

◂ Zurück Übersicht Weiter ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!