CVE-2026-50183 in AVideoinformazioni

Riassunto

di VulDB • 16/07/2026

WWBN AVideo è una piattaforma video open source. Le versioni 29.0 e precedenti presentano un bug di Cross-Site Scripting (XSS) memorizzato nel plugin YouTubeAPI. Il plugin visualizza il campo snippet.title restituito dall'YouTube Data API all'interno del markup della galleria nella homepage senza alcuna codifica HTML. Il titolo è impostato dal caricatore del video su YouTube (chiunque nel mondo) ed è trattato da AVideo come contenuto attendibile. Un utente che carica un video su YouTube, il cui titolo corrisponde alla query configurata dall'operatore, inietta codice HTML nella homepage di AVideo impostando il titolo del proprio video su una stringa contenente JavaScript; il payload viene quindi eseguito nel browser di ogni visitatore che carica qualsiasi pagina che visualizza la galleria. Quando il visitatore è un amministratore di AVideo, lo script JavaScript iniettato esegue qualsiasi azione di amministrazione (creazione utente, promozione ad amministratore, modifica della configurazione, installazione di plugin) che utilizza l'autenticazione basata sui cookie senza richiedere un token CSRF aggiuntivo, trasformando il bug in una completa assunzione del controllo amministrativo. Il payload persiste per la durata di cacheTimeout (3600 secondi predefiniti) dopo che il titolo malevolo è stato impostato su YouTube e sopravvive alla rimozione da parte di YouTube del video ostile per lo stesso intervallo temporale. Questo problema è stato risolto con l'commit https://github.com/WWBN/AVideo/commit/7292129eaee5f609beae103b5cb387d55f17b877.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

04/06/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!