CVE-2026-54458 in AVideo
Zusammenfassung
von VulDB • 16.07.2026
WWBN AVideo ist eine Open-Source-Videoplattform. Versionen vor 2.9.0 enthalten einen gespeicherten DOM-basierten Cross-Site Scripting (XSS)-Schwachstelle im YPTSocket-Plugin. Jeder nicht authentifizierte Remote-Angriff kann beliebigen JavaScript-Code in der authentifizierten Ursprungsdomäne jedes Administrators ausführen, der derzeit eine Seite aufruft, die das Online-Benutzer-Debugpanel von YPTSocket rendert. plugin/YPTSocket/getWebSocket.json.php stellt einem anonymen Aufrufer ein signiertes WebSocket-Token zur Verfügung, und MessageSQLiteV2::onOpen in plugin/YPTSocket/MessageSQLiteV2.php an den Zeilen 91 und 110 liest die vom Angreifer kontrollierten Abfrageparameter webSocketSelfURI und page_title aus der WebSocket-Verbindungs-URL ohne Validierung. Beide Werte werden in der SQLite-In-Memory-Verbindungstabelle gespeichert und innerhalb des users_id_online-Arrays an jeden verbundenen Client gesendet; auf dem Client interpoliert plugin/YPTSocket/script.js::updateSocketUserCard den broadcasteten page_title-Wert in eine HTML-Vorlagenliteral, das an jQuery $.append(html) übergeben wird, was Angreiferbytes in lebende DOM-Knoten einschließlich <img> mit Inline-Ereignishandlern parst. Erfolgreiche Angreifer können nicht-HttpOnly-Cookies und den CSRF-Token lesen, der im Admin-Dashboard gerendert wird, authentifizierte Anfragen an jeden nur für Administratoren zugänglichen Endpunkt stellen, das DOM des Admin-Dashboards extrahieren und in jede Mutation im Admin-Kontext einbinden. Wenn das Opfer ein AVideo-Administrator ist, verwandelt der Angreifer eine einzelne anonyme WebSocket-Verbindung durch die Sitzung des Administrators selbst in eine vollständige administrative Übernahme dieses Problems wurde behoben durch https://github.com/WWBN/AVideo/commit/8be71e53ccbe9b84b30870db386fb4d2b11e1c16.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.