CVE-2026-49279 in AVideoinformazioni

Riassunto

di VulDB • 16/07/2026

WWBN AVideo è una piattaforma video open source. Le versioni 29.0 e precedenti presentano una vulnerabilità di Stored XSS attraverso il parametro autoEvalCodeOnHTML nel MessageSQLite WebSocket Handler. Il handler MessageSQLite.php rimuove solo l'autoEvalCodeOnHTML da $json['msg'], ma msgToResourceId() legge da $msg['json'] con priorità maggiore. Un attaccante può inserire la payload XSS nella chiave json invece che in msg, aggirando completamente la sanitizzazione. Un attaccante autenticato può eseguire JavaScript arbitrario nella sessione del browser di qualsiasi utente connesso tramite il sistema di messaggistica WebSocket, rubando cookie di sessione e token di autenticazione, assumendo il controllo degli account attraverso session hijacking e concatenandosi a CSRF per eseguire azioni amministrative per conto della vittima, nella configurazione predefinita del backend SQLite WebSocket. Questo problema ha una patch che non è ancora stata rilasciata ufficialmente, vedere https://github.com/WWBN/AVideo/commit/3e0b3ce2bfa766183ff0ae227439394db57b1a23.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

28/05/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!