CVE-2026-49279 in AVideoinformación

Resumen

por VulDB • 2026-07-16

WWBN AVideo es una plataforma de vídeo de código abierto. Las versiones 29.0 y anteriores contienen una vulnerabilidad XSS almacenada (Stored XSS) a través del parámetro autoEvalCodeOnHTML en el controlador WebSocket MessageSQLite. El controlador MessageSQLite.php solo elimina autoEvalCodeOnHTML de $json['msg'], pero msgToResourceId() lee desde $msg['json'] con mayor prioridad. Un atacante puede colocar la carga útil XSS en la clave json en lugar de msg, evitando completamente la sanitización. Un atacante autenticado puede ejecutar JavaScript arbitrario en la sesión del navegador de cualquier usuario conectado a través del sistema de mensajería WebSocket, robando cookies de sesión y tokens de autenticación, tomando el control de cuentas mediante secuestro de sesión (session hijacking) y encadenándolas con CSRF para realizar acciones administrativas en nombre de la víctima, en la configuración predeterminada del backend SQLite WebSocket. Este problema tiene un parche que aún no se ha lanzado oficialmente; véase https://github.com/WWBN/AVideo/commit/3e0b3ce2bfa766183ff0ae227439394db57b1a23.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-05-28

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379424

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!