CVE-2026-40911 in AVideo
要約
〜によって VulDB • 2026年05月22日
WWBN AVideo はオープンソースのビデオプラットフォームです。バージョン 29.0 およびそれ以前のバージョンでは、YPTSocket プラグインの WebSocket サーバーが、`msg` および `callback` フィールドをサニタイズすることなく、攻撃者が提供した JSON メッセージボディを接続されているすべてのクライアントにリレーします。クライアント側では、`plugin/YPTSocket/script.js` に、これらのリレーされたフィールドから直接供給される 2 つの `eval()` _sink_(行 568 の `json.msg.autoEvalCodeOnHTML` および行 95 の `json.callback`)が含まれています。匿名の訪問者に対してトークンが発行され、復号化以降再検証されないため、認証されていない攻撃者は、現在接続しているすべてのユーザー(管理者を含む)のオリジンで実行される任意の JavaScript をブロードキャストでき、結果としてすべてのアカウントの乗っ取り、セッションの盗難、および特権アクションの実行が可能になります。コミット c08694bf6264eb4decceb78c711baee2609b4efd に修正が含まれています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.