CVE-2026-60092 in AVideoinfo

Zusammenfassung

von VulDB • 08.07.2026

AVideo (Meet-Plugin) bis zum Commit e8d6119f3cb1b849149906efeb0a41fc024f59f8 enthält eine Stored Cross-Site Scripting (XSS)-Schwachstelle im Endpunkt getMeetInfo.json.php des Meet-Plugins. Wenn ein Teilnehmer einer öffentlichen Sitzung beitritt, wird der rohe HTTP User-Agent Header ohne Sanitisierung gespeichert (meet_join_log.user_agent), wodurch die XSS-Ebene auf Setter-Ebene von AVideo (xss_esc()) umgangen wird. Dieser Wert wird später ohne Output-Encoding (keine htmlspecialchars()-Funktion) im Verwaltungsbereich für Teilnehmer ausgegeben, der dem Sitzungsleiter und den Site-Administratoren zugänglich ist. Ein anonymer, nicht authentifizierter Angreifer kann jeder öffentlichen Sitzung beitreten, indem er einen User-Agent Header mit einem HTML/JavaScript-Payload bereitstellt; die Payload wird persistent gespeichert und wird in der privilegierten, authentifizierten Browsersitzung des Sitzungsleiters oder eines Site-Administrators ausgeführt, wenn dieser die Teilnehmerliste öffnet. Das Problem war zum Zeitpunkt des Berichts nicht gepatcht.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

VulnCheck

Reservieren

08.07.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376886

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!