CVE-2026-49279 in AVideo
要約
〜によって VulDB • 2026年07月15日
WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン29.0およびそれ以前には、MessageSQLite WebSocketハンドラー内のautoEvalCodeOnHTMLパラメータを介して格納型XSS(Stored XSS)脆弱性が存在します。MessageSQLite.phpハンドラーは$json['msg']からautoEvalCodeOnHTMLのみを除去しますが、msgToResourceId()関数はより優先度が高い$msg['json']から読み取りを行います。攻撃者は、メッセージの代わりにjsonキーにXSSペイロードを配置することで、サニタイズ処理を完全に回避できます。認証済み攻撃者は、デフォルトのSQLite WebSocketバックエンド構成において、WebSocketメッセージングシステムを通じて接続中の任意のユーザーのブラウザセッション内で arbitrary なJavaScriptを実行し、セッションクッキーや認証トークンを窃取したり、セッションハイジャックによってアカウント乗取を行ったり、CSRFと組み合わせて被害者の代わりに管理者アクションを実行することが可能です。この問題には公式リリース前のパッチが存在します(https://github.com/WWBN/AVideo/commit/3e0b3ce2bfa766183ff0ae227439394db57b1a23を参照)。
Once again VulDB remains the best source for vulnerability data.