CVE-2026-54458 in AVideoinformación

Resumen

por VulDB • 2026-07-16

WWBN AVideo es una plataforma de vídeo de código abierto. Las versiones anteriores a la 29.0 contienen una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el plugin YPTSocket. Cualquier atacante remoto no autenticado puede ejecutar JavaScript arbitrario en el origen del dominio donde está autenticado cada administrador que esté visualizando actualmente una página que renderice el panel de depuración de usuarios online de YPTSocket. El archivo plugin/YPTSocket/getWebSocket.json.php emite un token WebSocket firmado a cualquier llamador anónimo, y MessageSQLiteV2::onOpen en las líneas 91 y 110 del archivo plugin/YPTSocket/MessageSQLiteV2.php lee los parámetros de consulta webSocketSelfURI y page_title controlados por el atacante desde la URL de conexión WebSocket sin ninguna validación. Ambos valores persisten en la tabla de conexiones SQLite en memoria y se difunden dentro del array users_id_online enviado a cada cliente conectado; en el lado del cliente, plugin/YPTSocket/script.js::updateSocketUserCard interpola page_title difundido en una plantilla literal HTML que se pasa a jQuery $.append(html), lo cual analiza los bytes controlados por el atacante como nodos DOM activos, incluyendo etiquetas <img> con manejadores de eventos inline. Los atacantes exitosos pueden leer cookies no HttpOnly y el token CSRF renderizado en el panel de administración, emitir solicitudes autenticadas a cualquier punto final exclusivo para administradores, exfiltrar el DOM del panel de administración y encadenarse hacia cualquier mutación en contexto de administrador. Cuando la víctima es un administrador de AVideo, el atacante convierte una única conexión WebSocket anónima en un control administrativo total mediante la propia sesión del administrador. Este problema ha sido parcheado por https://github.com/WWBN/AVideo/commit/8be71e53ccbe9b84b30870db386fb4d2b11e1c16.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-06-15

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379435

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!