CVE-2026-33683 in WWBN AVideoinformación

Resumen

WWBN AVideo es una plataforma de video de código abierto. En versiones hasta la 26.0 inclusive, una falla en el orden de operaciones de sanitización en el campo 'acerca de' del perfil de usuario permite a cualquier usuario registrado inyectar JavaScript arbitrario que se ejecuta cuando otros usuarios visitan su página de canal. La función `xss_esc()` codifica entidades la entrada antes de que `strip_specific_tags()` pueda coincidir con etiquetas HTML peligrosas, y `html_entity_decode()` en la salida revierte la codificación, restaurando el HTML malicioso en bruto. El commit 7cfdc380dae1e56bbb5de581470d9e9957445df0 contiene un parche.

Responsable

GitHub_M

Reservar

2026-03-23

Divulgación

2026-03-23

Voces

VulDB provides additional information and datapoints for this CVE:

ID	Vulnerabilidad	CWE	Exp	Con	CVE
352575	WWBN AVideo Registered User xss_esc secuencias de comandos en sitios cruzados	79	No está definido	Arreglo oficial	CVE-2026-33683

Descripción

CPE

CWE

CVSS

Hazañas

Historia

Diferencia

Relacionar

Inteligencia de amenazas

API JSON

API XML

API CSV

◂ AnteriorVisión De ConjuntoPróximo ▸

Want to know what is going to be exploited?

We predict KEV entries!