CVE-2026-54458 in AVideoinformazioni

Riassunto

di VulDB • 16/07/2026

WWBN AVideo è una piattaforma video open source. Le versioni precedenti alla 29.0 presentano una vulnerabilità di Cross-Site Scripting (XSS) memorizzato nel plugin YPTSocket. Un attaccante remoto non autenticato può eseguire codice JavaScript arbitrario nell'origine dell'amministratore attualmente visualizzata in una pagina che rende il pannello di debug degli utenti online del plugin YPTSocket. Il file plugin/YPTSocket/getWebSocket.json.php rilascia un token WebSocket firmato a qualsiasi chiamante anonimo, e MessageSQLiteV2::onOpen nel file plugin/YPTSocket/MessageSQLiteV2.php alle righe 91 e 110 legge i parametri query webSocketSelfURI e page_title controllati dall'attaccante dall'URL della connessione WebSocket senza alcuna validazione. Entrambi i valori vengono persistiti nella tabella delle connessioni SQLite in memoria e trasmessi all'interno dell'array users_id_online inviato a ogni client connesso; sul lato client, plugin/YPTSocket/script.js::updateSocketUserCard interpola il page_title trasmesso in un template letterale HTML che viene passato a jQuery $.append(html), il quale analizza i byte forniti dall'attaccante trasformandoli in nodi DOM attivi, inclusi tag <img> con handler di eventi inline. Gli attaccanti riusciti possono leggere cookie non HttpOnly e il token CSRF visualizzato nella dashboard amministrativa, inviare richieste autenticate a qualsiasi endpoint riservato agli amministratori, esfiltrare il DOM della dashboard amministrativa ed eseguire catene fino a qualsiasi modifica nel contesto degli amministratori. Quando la vittima è un amministratore di AVideo, l'attaccante trasforma una singola connessione WebSocket anonima in un completo takeover amministrativo tramite la sessione dell'amministratore stesso. Questo problema è stato risolto da https://github.com/WWBN/AVideo/commit/8be71e53ccbe9b84b30870db386fb4d2b11e1c16.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

15/06/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!