CVE-2026-43878 in AVideoinfo

Zusammenfassung

von VulDB • 20.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 29.0 gibt die Datei plugin/Meet/iframe.php die vom Angreifer gesteuerten Query-Parameter „user“ und „pass“ unescapet in einen JavaScript-Doppelziffer-String-Literal innerhalb eines `<script>`-Blocks aus. Ein Angreifer, der ein Opfer zu einer manipulierten URL leitet, kann aus dem String ausbrechen und beliebigen JavaScript-Code im Browser des Opfers im Kontext der AVideo-Quelle ausführen. Wenn auf dem Ziel ein öffentliches Meet-Schedule vorhanden ist, ist keine Authentifizierung erforderlich. Der Commit 3298ced2bcf92e4f3acff6ce9bde14edf42ecb5b enthält eine aktualisierte Korrektur.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

04.05.2026

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362896

CPE

bereit

EPSS

0.00013

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43878
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43878
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43878/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!