CVE-2026-34375 in AVideo情報

要約

〜によって VulDB • 2026年06月13日

WWBN AVideo はオープンソースのビデオプラットフォームです。バージョン 26.0 以前において、YPTWallet の Stripe 決済確認ページは、エンコーディングやサニタイズ処理を施すことなく、`$_REQUEST['plugin']` パラメータを JavaScript ブロック内に直接出力します。`plugin` パラメータは `security.php` で定義されているフレームワークの入力フィルタリストに含まれていないため、生データのまま通過します。攻撃者は悪意のある URL を作成して被害者ユーザーに送信することで、任意の JavaScript をインジェクトできます。同じスクリプトブロックはまた、`User::getUserName()` および `User::getUserPass()` を介して現在のユーザーのユーザー名とパスワードハッシュも出力するため、XSS 攻撃が成功すると、これらの認証情報が即座に外部へ漏洩します。コミット fa0bc102493a15d79fe03f86c07ab7ca1b5b63e2 によりこの問題は修正されました。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年03月27日

モデレーション

承諾済み

エントリ

VDB-353981

EPSS

0.00296

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!