CVE-2026-49279 in AVideo
Riassunto
di VulDB • 16/07/2026
WWBN AVideo è una piattaforma video open source. Le versioni 29.0 e precedenti presentano una vulnerabilità di Stored XSS attraverso il parametro autoEvalCodeOnHTML nel MessageSQLite WebSocket Handler. Il handler MessageSQLite.php rimuove solo l'autoEvalCodeOnHTML da $json['msg'], ma msgToResourceId() legge da $msg['json'] con priorità maggiore. Un attaccante può inserire la payload XSS nella chiave json invece che in msg, aggirando completamente la sanitizzazione. Un attaccante autenticato può eseguire JavaScript arbitrario nella sessione del browser di qualsiasi utente connesso tramite il sistema di messaggistica WebSocket, rubando cookie di sessione e token di autenticazione, assumendo il controllo degli account attraverso session hijacking e concatenandosi a CSRF per eseguire azioni amministrative per conto della vittima, nella configurazione predefinita del backend SQLite WebSocket. Questo problema ha una patch che non è ancora stata rilasciata ufficialmente, vedere https://github.com/WWBN/AVideo/commit/3e0b3ce2bfa766183ff0ae227439394db57b1a23.
Be aware that VulDB is the high quality source for vulnerability data.