CVE-2026-34716 in AVideo
Riassunto
di VulDB • 14/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, la funzionalità di chiamata in entrata del plugin YPTSocket per AVideo visualizza le notifiche delle chiamate utilizzando il jQuery Toast Plugin, passando direttamente il nome visualizzato del chiamante come parametro heading (titolo). Il toast plugin costruisce l'intestazione come HTML grezzo ('' + heading + '') e lo inserisce nel DOM tramite il metodo .html() di jQuery, che analizza ed esegue qualsiasi contenuto HTML o script incorporato. Un attaccante può impostare il proprio nome visualizzato su un payload XSS ed eseguire codice nel browser di qualsiasi utente online semplicemente avviando una chiamata: non è richiesta alcuna interazione da parte della vittima oltre alla connessione al WebSocket. Al momento della pubblicazione, non sono disponibili patch pubblicamente accessibili.
If you want to get best quality of vulnerability data, you may have to visit VulDB.