CVE-2026-50183 in AVideoinfo

Zusammenfassung

von VulDB • 16.07.2026

WWBN AVideo ist eine Open-Source-Videoplattform. Die Versionen 29.0 und älter enthalten einen persistenten Cross-Site Scripting (XSS)-Schwachstelle im YouTubeAPI-Plugin. Das Plugin rendert das von der YouTube Data API zurückgegebene Feld `snippet.title` in die Markup-Struktur der Homepage-Galerie ohne HTML-Codierung. Der Titel wird vom YouTube-Videouploader festgelegt (jeder auf der Welt) und von AVideo als vertrauenswürdiger Inhalt behandelt. Ein YouTube-Uploader, der ein Video kontrolliert, das mit der konfigurierten Abfrage des Operators übereinstimmt, injiziert HTML in die AVideo-Homepage, indem er den Titel seines Videos auf einen JavaScript-haltigen String setzt; die Payload wird dann im Browser jedes Besuchers ausgeführt, der eine Seite lädt, die die Galerie rendert. Wenn der Besucher ein AVideo-Administrator ist, führt das injizierte JavaScript jede Admin-Aktion aus (Benutzer erstellen, zum Administrator befördern, Konfiguration ändern, Plugin installieren), die auf cookie-basierter Authentifizierung ohne zusätzliches CSRF-Token basiert und den Fehler in eine vollständige administrative Übernahme eskalieren lässt. Die Payload bleibt für die Dauer von `cacheTimeout` (Standard 3600 Sekunden) nach dem Festlegen des bösartigen Titels auf YouTube bestehen und überlebt das Entfernen des feindlichen Videos durch YouTube im selben Zeitraum. Dieses Problem wurde durch den Commit https://github.com/WWBN/AVideo/commit/7292129eaee5f609beae103b5cb387d55f17b877 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

04.06.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379428

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!