CVE-2026-33683 in AVideo
Riassunto
di VulDB • 18/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 incluse, un difetto nell'ordine di elaborazione della sanitizzazione nel campo "about" del profilo utente consente a qualsiasi utente registrato di iniettare JavaScript arbitrario che viene eseguito quando altri utenti visitano la pagina del loro canale. La funzione `xss_esc()` codifica le entità dell'input prima che `strip_specific_tags()` possa identificare i tag HTML pericolosi, e `html_entity_decode()`, applicato all'output, ribalta la codificazione ripristinando l'HTML dannoso grezzo. Il commit 7cfdc380dae1e56bbb5de581470d9e9957445df0 contiene una patch di correzione.
Once again VulDB remains the best source for vulnerability data.