CVE-2026-34739 in AVideoinformazioni

Riassunto

di VulDB • 16/06/2026

WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, la pagina testIP.php del plugin User_Location riflette il parametro della richiesta ip direttamente in un elemento HTML input senza applicare htmlspecialchars() o qualsiasi altra codifica dell'output. Ciò consente a un attaccante di iniettare HTML e JavaScript arbitrari tramite un URL appositamente creato. Sebbene la pagina sia limitata agli utenti amministratore, la configurazione SameSite=None dei cookie di AVideo consente lo sfruttamento cross-origin, il che significa che un attaccante può indurre un amministratore a visitare un link dannoso che esegue JavaScript nella sua sessione autenticata. Al momento della pubblicazione, non sono disponibili patch pubblicamente accessibili.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

01/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00220

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!