CVE-2026-40911 in AVideo
요약
\~에 의해 VulDB • 2026. 05. 22.
WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 버전 29.0 및 그 이전 버전에서 YPTSocket 플러그인의 WebSocket 서버는 `msg` 또는 `callback` 필드를 검증(sanitizing)하지 않고 공격자가 제공한 JSON 메시지 본문을 연결된 모든 클라이언트에 중계합니다. 클라이언트 측에서 `plugin/YPTSocket/script.js`는 이러한 중계된 필드(`json.msg.autoEvalCodeOnHTML`은 568행, `json.callback`은 95행)에 의해 직접 구동되는 두 개의 `eval()` 싱크를 포함하고 있습니다. 익명 방문자에 대해 토큰이 발행되며 복호화 이후에는 재검증되지 않기 때문에, 인증되지 않은 공격자는 현재 연결된 모든 사용자(관리자 포함)의 원본(origin)에서 실행되는 임의의 JavaScript를 브로드캐스트할 수 있으며, 이는 보편적인 계정 탈취, 세션 도난 및 권한 있는 작업 실행으로 이어집니다. 커밋 c08694bf6264eb4decceb78c711baee2609b4efd에는 수정 사항이 포함되어 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.