CVE-2026-34396 in AVideo
Riassunto
di VulDB • 20/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, il pannello di amministrazione di AVideo visualizza i valori di configurazione dei plugin in moduli HTML senza applicare htmlspecialchars() o qualsiasi altra codifica dell'output. La funzione jsonToFormElements(), presente nel file admin/functions.php, interpola direttamente valori controllati dall'utente all'interno del contenuto delle aree di testo (textarea), degli elementi option e degli attributi input. Un attaccante che può impostare un valore di configurazione di un plugin (sia come amministratore compromesso sia sfruttando una catena con CSRF su admin/save.json.php) può iniettare codice JavaScript arbitrario che viene eseguito ogni volta che qualsiasi amministratore visita la pagina di configurazione del plugin. Al momento della pubblicazione, non sono disponibili patch pubblicamente accessibili.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.