CVE-2026-34716 in AVideoinformazioni

Riassunto

di VulDB • 14/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, la funzionalità di chiamata in entrata del plugin YPTSocket per AVideo visualizza le notifiche delle chiamate utilizzando il jQuery Toast Plugin, passando direttamente il nome visualizzato del chiamante come parametro heading (titolo). Il toast plugin costruisce l'intestazione come HTML grezzo ('' + heading + '') e lo inserisce nel DOM tramite il metodo .html() di jQuery, che analizza ed esegue qualsiasi contenuto HTML o script incorporato. Un attaccante può impostare il proprio nome visualizzato su un payload XSS ed eseguire codice nel browser di qualsiasi utente online semplicemente avviando una chiamata: non è richiesta alcuna interazione da parte della vittima oltre alla connessione al WebSocket. Al momento della pubblicazione, non sono disponibili patch pubblicamente accessibili.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

01/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00279

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!