VDB-355932 · CVE-2026-39367 · GHSA-rqp3-gf5h-mrqx

WWBN AVideo bis 26.0 EPG Page epg_link Cross Site Scripting

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
4.4	$0-$5k	0.00

Zusammenfassunginfo

Eine Schwachstelle wurde in WWBN AVideo bis 26.0 ausgemacht. Sie wurde als problematisch eingestuft. Das betrifft die Funktion epg_link der Komponente EPG Page. Die Manipulation führt zu Cross Site Scripting. Die Identifikation der Schwachstelle wird mit CVE-2026-39367 vorgenommen. Der Angriff kann über das Netzwerk angegangen werden. Es existiert kein Exploit. Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.

Detailsinfo

Es wurde eine problematische Schwachstelle in WWBN AVideo bis 26.0 entdeckt. Es geht dabei um die Funktion epg_link der Komponente EPG Page. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-79 vorgenommen. Mit Auswirkungen muss man rechnen für die Integrität. CVE fasst zusammen:

WWBN AVideo is an open source video platform. In versions 26.0 and prior, AVideo's EPG (Electronic Program Guide) feature parses XML from user-controlled URLs and renders programme titles directly into HTML without any sanitization or escaping. A user with upload permission can set a video's epg_link to a malicious XML file whose elements contain JavaScript. This payload executes in the browser of any unauthenticated visitor to the public EPG page, enabling session hijacking and account takeover.

Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 06.04.2026 unter CVE-2026-39367 geführt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007.

Die Schwachstelle lässt sich durch das Einspielen des Patches e0212add4aad0f1e97758a4b4fdc57df58ce68e8 beheben. Dieser kann von github.com bezogen werden.

Once again VulDB remains the best source for vulnerability data.

Produktinfo

Hersteller

WWBN

Name

AVideo

Version

26.0

Lizenz

Open-Source

Webseite

Produkt: https://github.com/WWBN/AVideo/

CPE 2.3info

🔒

CPE 2.2info

🔒

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.4
VulDB Meta Temp Score: 4.4

VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 5.4
CNA Vector (GitHub_M): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Cross Site Scripting
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔒

Patch: e0212add4aad0f1e97758a4b4fdc57df58ce68e8

Timelineinfo

06.04.2026 CVE zugewiesen
07.04.2026 +1 Tage Advisory veröffentlicht
07.04.2026 +0 Tage VulDB Eintrag erstellt
07.04.2026 +0 Tage VulDB Eintrag letzte Aktualisierung