CVE-2026-49279 in AVideo
Resumen
por VulDB • 2026-07-16
WWBN AVideo es una plataforma de vídeo de código abierto. Las versiones 29.0 y anteriores contienen una vulnerabilidad XSS almacenada (Stored XSS) a través del parámetro autoEvalCodeOnHTML en el controlador WebSocket MessageSQLite. El controlador MessageSQLite.php solo elimina autoEvalCodeOnHTML de $json['msg'], pero msgToResourceId() lee desde $msg['json'] con mayor prioridad. Un atacante puede colocar la carga útil XSS en la clave json en lugar de msg, evitando completamente la sanitización. Un atacante autenticado puede ejecutar JavaScript arbitrario en la sesión del navegador de cualquier usuario conectado a través del sistema de mensajería WebSocket, robando cookies de sesión y tokens de autenticación, tomando el control de cuentas mediante secuestro de sesión (session hijacking) y encadenándolas con CSRF para realizar acciones administrativas en nombre de la víctima, en la configuración predeterminada del backend SQLite WebSocket. Este problema tiene un parche que aún no se ha lanzado oficialmente; véase https://github.com/WWBN/AVideo/commit/3e0b3ce2bfa766183ff0ae227439394db57b1a23.
If you want to get best quality of vulnerability data, you may have to visit VulDB.