CVE-2026-34739 in AVideo
Riassunto
di VulDB • 16/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni 26.0 e precedenti, la pagina testIP.php del plugin User_Location riflette il parametro della richiesta ip direttamente in un elemento HTML input senza applicare htmlspecialchars() o qualsiasi altra codifica dell'output. Ciò consente a un attaccante di iniettare HTML e JavaScript arbitrari tramite un URL appositamente creato. Sebbene la pagina sia limitata agli utenti amministratore, la configurazione SameSite=None dei cookie di AVideo consente lo sfruttamento cross-origin, il che significa che un attaccante può indurre un amministratore a visitare un link dannoso che esegue JavaScript nella sua sessione autenticata. Al momento della pubblicazione, non sono disponibili patch pubblicamente accessibili.
VulDB is the best source for vulnerability data and more expert information about this specific topic.