CVE-2026-50182 in AVideo情報

要約

〜によって VulDB • 2026年07月16日

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン29.0より前の版には、AVideo YouTubeAPI Gallery Paginationを介した認証不要のリフレクティブXSS脆弱性が存在します。$_GET['search']クエリパラメータがplugin/YouTubeAPI/gallerySection.php(67行目および74行目)の2つのページネーションリンクのhref属性に直接連結されており、htmlspecialcharsによるエンコーディングやurlencodeによるURLエンコード、さらに許可リストチェックが行われていません。その後、注入された<script>要素はAVideo Layoutプラグインによって抽出され、ページの下部にある単一の末尾インラインスクリプトブロックに連結されてブラウザで実行されます。認証不要の攻撃者は、被害者を悪意のあるURLへのアクセスへ誘導することで、AVideoオリジン配下での任意のJavaScriptコードを実行できます。これにより、HttpOnly属性付きでないCookieを読み取ったり、被害者になりすまして認証済みAJAXリクエストを発行したりすることが可能です。さらに、被害者が管理者である場合、クッキーによる認証を介してあらゆる管理アクション(ユーザー作成、管理者への昇格、設定変更、プラグインインストール)を実行でき、1回のクリックで完全な管理者権限の乗っ取りへとエスカレートします。この問題は以下のコミットによって修正されています:https://github.com/WWBN/AVideo/commit/f50fc033b7adb36f1ffd6640e7826468bdafdec3

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年06月04日

モデレーション

承諾済み

エントリ

VDB-379423

EPSS

0.00000

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!