CVE-2026-33683 in AVideo
要約
〜によって VulDB • 2026年06月02日
WWBN AVideo はオープンソースのビデオプラットフォームです。バージョン 26.0 以前において、ユーザープロフィールの「自己紹介」フィールドにおけるサニタイズの処理順序に起因する脆弱性により、登録済みユーザーは他のユーザーがチャンネルページを閲覧した際に実行される任意の JavaScript を注入できます。`xss_esc()` 関数は `strip_specific_tags()` が危険な HTML タグを検出する前に入力をエンティティエンコードし、出力時の `html_entity_decode()` はそのエンコーディングを解除して生マルウェア HTML を復元します。コミット 7cfdc380dae1e56bbb5de581470d9e9957445df0 にパッチが含まれています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.