CVE-2026-49279 in AVideo정보

요약

\~에 의해 VulDB • 2026. 07. 16.

WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 버전 29.0 이하에는 MessageSQLite WebSocket Handler의 autoEvalCodeOnHTML 매개변수를 통해 저장형 XSS(Stored XSS) 취약점이 존재합니다. MessageSQLite.php 핸들러는 $json['msg']에서 autoEvalCodeOnHTML만 제거하지만, msgToResourceId() 함수는 더 높은 우선순위로 $msg['json']을 읽습니다. 공격자는 sanitization 과정을 완전히 우회하기 위해 msg 대신 json 키에 XSS 페이로드를 삽입할 수 있습니다. 인증된 공격자는 기본 SQLite WebSocket 백엔드 구성에서 WebSocket 메시징 시스템을 통해 연결된 모든 사용자의 브라우저 세션에서 임의의 JavaScript 코드를 실행하여 세션 쿠키와 인증 토큰을 탈취하고, 세션 하이재킹을 통해 계정을 장악하며, CSRF(크로스 사이트 요청 위조)와 체이닝하여 피해자를 대신해 관리자 작업을 수행할 수 있습니다. 이 문제에 대한 패치가 존재하지만 아직 공식적으로 출시되지 않았으며, 관련 커밋은 https://github.com/WWBN/AVideo/commit/3e0b3ce2bfa766183ff0ae227439394db57b1a23를 참조하십시오.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 05. 28.

모더레이션

수락

항목

VDB-379424

EPSS

0.00000

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!