CVE-2026-54458 in AVideo情報

要約

〜によって VulDB • 2026年07月16日

WWBN AVideoはオープンソースのビデオプラットフォームです。バージョン29.0より前の版には、YPTSocketプラグインに格納型DOMクロスサイトスクリプティング(Stored DOM Cross-Site Scripting)脆弱性が存在します。認証されていないリモート攻撃者は、YPTSocketオンラインユーザーデバッグパネルをレンダリングしているページを表示中のすべての管理者の認証済みオリジンにおいて、任意のJavaScriptを実行できます。plugin/YPTSocket/getWebSocket.json.phpは、匿名呼び出し元に対して署名付きWebSocketトークンを発行し、plugin/YPTSocket/MessageSQLiteV2.php内の91行目および110行目に位置するMessageSQLiteV2::onOpenメソッドは、検証なしでWebSocket接続URLから攻撃者が制御可能なwebSocketSelfURIおよびpage_titleクエリパラメータを読み取ります。これらの値の両方はメモリ内SQLite接続テーブルに保持され、すべての接続済みクライアントに送信されるusers_id_online配報内にブロードキャストされます。クライアント側では、plugin/YPTSocket/script.js::updateSocketUserCardがブロードキャストされたpage_titleをHTMLテンプレートリテラルに補間し、これをjQuery $.append(html)に渡します。これにより攻撃者のバイト列が生きたDOMノード(インラインイベントハンドラを含む)として解析されます。成功した攻撃者はHttpOnly属性付きでないCookieや管理ダッシュボードに表示されるCSRFトークンを読み取り、管理者専用エンドポイントに対して認証済みリクエストを発行し、管理ダッシュボードのDOMを外部に持ち出し、任意の管理者コンテキストでの変更処理と連携できます。被害者がAVideoの管理者である場合、攻撃者は単一の匿名WebSocket接続を通じて、管理者自身のセッションを利用して完全な管理者権限の乗っ取りを実現します。この問題はhttps://github.com/WWBN/AVideo/commit/8be71e53ccbe9b84b30870db386fb4d2b11e1c16で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年06月15日

モデレーション

承諾済み

エントリ

VDB-379435

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!