CVE-2026-50182 in AVideoinformación

Resumen

por VulDB • 2026-07-16

WWBN AVideo es una plataforma de vídeo de código abierto. Las versiones anteriores a la 29.0 contienen una vulnerabilidad Reflected XSS (Cross-Site Scripting) no autenticada a través de la paginación del Galería YouTubeAPI de AVideo. El parámetro de consulta `$_GET['search']` se concatena directamente en el atributo href de dos enlaces de paginación en plugin/YouTubeAPI/gallerySection.php (líneas 67 y 74) sin htmlspecialchars, sin urlencode ni comprobación allow-list. Un elemento `<script>` inyectado es entonces extraído por el plugin AVideo Layout y concatenado en un único bloque inline script al final de la página, donde el navegador lo ejecuta. Cualquier atacante no autenticado puede atraer a una víctima para que siga una URL manipulada ad hoc con el fin de ejecutar JavaScript arbitrario bajo el origen de AVideo, lo cual permite leer cookies no HttpOnly y emitir peticiones AJAX autenticadas en nombre de la víctima; cuando la víctima es un administrador, se pueden realizar cualquier acción administrativa autenticada mediante cookie (crear usuario, promover a admin, cambiar configuración, instalar plugin), escalando un único clic hasta una toma completa del control administrativo. Este problema ha sido parcheado por este commit: https://github.com/WWBN/AVideo/commit/f50fc033b7adb36f1ffd6640e7826468bdafdec3.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-04

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379423

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!