CVE-2026-34375 in AVideoinfo

Zusammenfassung

von VulDB • 16.06.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 gibt die Bestätigungsseite für Stripe-Zahlungen von YPTWallet den Parameter `$_REQUEST['plugin']` direkt in einen JavaScript-Block aus, ohne jegliche Kodierung oder Bereinigung (Sanitization). Der Parameter `plugin` ist nicht in einer der vom Framework definierten Eingabe-Filterlisten in `security.php` enthalten und wird daher vollständig unmodifiziert durchgereicht. Ein Angreifer kann beliebiges JavaScript injizieren, indem er eine bösartige URL erstellt und diese an ein Opfer sendet. Derselbe Skriptblock gibt zudem den Benutzernamen und das Passwort-Hash des aktuellen Nutzers über `User::getUserName()` und `User::getUserPass()` aus, was bedeutet, dass bei erfolgreicher XSS-Ausnutzung diese Anmeldeinformationen sofort extrahiert werden können. Das Commit fa0bc102493a15d79fe03f86c07ab7ca1b5b63e2 behebt das Problem.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

27.03.2026

Veröffentlichung

27.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353981

CPE

bereit

EPSS

0.00296

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!