CVE-2026-50183 in AVideo
要約
〜によって VulDB • 2026年07月16日
WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン29.0およびそれ以前には、YouTubeAPIプラグインに格納型クロスサイトスクリプティング(XSS)脆弱性が存在します。このプラグインは、YouTube Data APIから返されるsnippet.titleフィールドをHTMLエンコーディングなしでホームページギャラリーのマークアップ内にレンダリングします。タイトルはYouTubeビデオのアップローダー(世界中の誰でも可能)によって設定され、AVideoからは信頼できるコンテンツとして扱われます。オペレーターの構成クエリに一致するビデオを持つYouTubeアップローダーが、自身のビデオのタイトルをJavaScriptを含む文字列に設定することでHTMLをAVideoホームページ内に注入し、その後ペイロードはギャラリーレンダリングを行うページを読み込むすべての訪問者のブラウザで実行されます。訪問者がAVideo管理者である場合、注入されたJavaScriptは追加のCSRFトークンなしでクッキーベース認証を使用する任意の管理アクション(ユーザー作成、管理者への昇格、設定変更、プラグインインストール)を実行し、このバグが完全な管理権限乗っ取りへとエスカレートします。ペイロードはYouTube上で悪意のあるタイトルが設定されてからcacheTimeout(デフォルト3600秒)の間存続し、同じ期間中にYouTube側で敵対的なビデオが削除された場合でも維持されます。この問題はコミット https://github.com/WWBN/AVideo/commit/7292129eaee5f609beae103b5cb387d55f17b877 によって修正されました。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.