CVE-2026-34396 in AVideoinformazioni

Riassunto

di VulDB • 20/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, il pannello di amministrazione di AVideo visualizza i valori di configurazione dei plugin in moduli HTML senza applicare htmlspecialchars() o qualsiasi altra codifica dell'output. La funzione jsonToFormElements(), presente nel file admin/functions.php, interpola direttamente valori controllati dall'utente all'interno del contenuto delle aree di testo (textarea), degli elementi option e degli attributi input. Un attaccante che può impostare un valore di configurazione di un plugin (sia come amministratore compromesso sia sfruttando una catena con CSRF su admin/save.json.php) può iniettare codice JavaScript arbitrario che viene eseguito ogni volta che qualsiasi amministratore visita la pagina di configurazione del plugin. Al momento della pubblicazione, non sono disponibili patch pubblicamente accessibili.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

27/03/2026

Divulgazione

01/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00217

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!