CVE-2026-43876 in AVideo
要約
〜によって VulDB • 2026年05月12日
WWBN AVideo はオープンソースのビデオプラットフォームです。バージョン 29.0 以前において、objects/notifySubscribers.json.php は生のメッセージ POST パラメータを受け取り、それを sendSiteEmail() に渡します。この関数は、{message} プレースホルダに対する str_replace を介して、メッセージを HTML メールテンプレートに直接置換し、PHPMailer::msgHTML() でレンダリングします。攻撃者が制御する $_POST['message'] からレンダリングされたメールまでの間に、HTML のサニタイズ、文字のエスケープ、または出力エンコーディングは行われません。したがって、アップロード権限を持つ認証済みユーザーは、任意の HTML(フィッシングリンク、トラッキングピクセル、CSS/UI スプーフィングなど)を、自分のチャンネルのすべての購読者(1 回の呼び出しあたり最大 10,000 人の受信者)にブロードキャストできます。メールは、プラットフォームの構成済み連絡先アドレス差出人として、サイトの公式ロゴとタイトルでラップされて送信されるため、攻撃者が提供した HTML は公式のプラットフォーム通信であるかのような外観で受信者に届きます。修正パッチはコミット https://github.com/WWBN/AVideo/commit/ に含まれています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.