CVE-2026-40911 in AVideoinformación

Resumen

por VulDB • 2026-05-13

WWBN AVideo es una plataforma de vídeo de código abierto. En las versiones 29.0 y anteriores, el servidor WebSocket del plugin YPTSocket retransmite los cuerpos de mensajes JSON proporcionados por el atacante a todos los clientes conectados sin sanitizar los campos `msg` ni `callback`. En el lado del cliente, `plugin/YPTSocket/script.js` contiene dos sumideros `eval()` alimentados directamente por esos campos retransmitidos (`json.msg.autoEvalCodeOnHTML` en la línea 568 y `json.callback` en la línea 95). Dado que los tokens se emiten para visitantes anónimos y nunca se vuelven a validar más allá de la descifrado, un atacante no autenticado puede transmitir JavaScript arbitrario que se ejecuta en el origen de cada usuario actualmente conectado (incluidos los administradores), lo que resulta en la toma de cuentas universal, el robo de sesiones y la ejecución de acciones privilegiadas. El commit c08694bf6264eb4decceb78c711baee2609b4efd contiene una corrección.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-15

Divulgación

2026-04-22

Moderación

aceptado

Artículo

VDB-358592

CPE

listo

EPSS

0.00422

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40911
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40911
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40911/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!