CVE-2026-50183 in AVideo
Résumé
par VulDB • 16/07/2026
WWBN AVideo est une plateforme vidéo open source. Les versions 29.0 et inférieures présentent un bug de type Cross-Site Scripting (XSS) stocké dans le plugin YouTubeAPI. Le plugin affiche le champ snippet.title renvoyé par l'API YouTube Data directement dans la structure HTML de la galerie d'accueil, sans encodage HTML. Ce titre est défini par l'utilisateur qui télécharge la vidéo sur YouTube (n'importe qui dans le monde) et AVideo considère ce contenu comme fiable. Un utilisateur YouTube contrôlant une vidéo correspondant à la requête configurée peut injecter du code HTML dans la page d'accueil d'AVideo en définissant le titre de sa vidéo avec une chaîne contenant du JavaScript ; le payload s'exécute alors dans le navigateur de chaque visiteur chargeant n'importe quelle page affichant la galerie. Lorsque le visiteur est un administrateur AVideo, le code JavaScript injecté permet d'effectuer toute action administrative (créer un utilisateur, promouvoir en admin, modifier la configuration, installer un plugin) utilisant l'authentification par cookie sans jeton CSRF supplémentaire, ce qui élève le bug jusqu'à une prise de contrôle totale des droits administratifs. Le payload persiste pendant la durée du cacheTimeout (3600 secondes par défaut) après que le titre malveillant a été défini sur YouTube et survit même si YouTube supprime la vidéo hostile durant cette fenêtre temporelle. Ce problème a été corrigé dans l'commit https://github.com/WWBN/AVideo/commit/7292129eaee5f609beae103b5cb387d55f17b877.
VulDB is the best source for vulnerability data and more expert information about this specific topic.