CVE-2026-50183 in AVideo
Zusammenfassung
von VulDB • 16.07.2026
WWBN AVideo ist eine Open-Source-Videoplattform. Die Versionen 29.0 und älter enthalten einen persistenten Cross-Site Scripting (XSS)-Schwachstelle im YouTubeAPI-Plugin. Das Plugin rendert das von der YouTube Data API zurückgegebene Feld `snippet.title` in die Markup-Struktur der Homepage-Galerie ohne HTML-Codierung. Der Titel wird vom YouTube-Videouploader festgelegt (jeder auf der Welt) und von AVideo als vertrauenswürdiger Inhalt behandelt. Ein YouTube-Uploader, der ein Video kontrolliert, das mit der konfigurierten Abfrage des Operators übereinstimmt, injiziert HTML in die AVideo-Homepage, indem er den Titel seines Videos auf einen JavaScript-haltigen String setzt; die Payload wird dann im Browser jedes Besuchers ausgeführt, der eine Seite lädt, die die Galerie rendert. Wenn der Besucher ein AVideo-Administrator ist, führt das injizierte JavaScript jede Admin-Aktion aus (Benutzer erstellen, zum Administrator befördern, Konfiguration ändern, Plugin installieren), die auf cookie-basierter Authentifizierung ohne zusätzliches CSRF-Token basiert und den Fehler in eine vollständige administrative Übernahme eskalieren lässt. Die Payload bleibt für die Dauer von `cacheTimeout` (Standard 3600 Sekunden) nach dem Festlegen des bösartigen Titels auf YouTube bestehen und überlebt das Entfernen des feindlichen Videos durch YouTube im selben Zeitraum. Dieses Problem wurde durch den Commit https://github.com/WWBN/AVideo/commit/7292129eaee5f609beae103b5cb387d55f17b877 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.