CVE-2026-50182 in AVideo정보

요약

\~에 의해 VulDB • 2026. 07. 16.

WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 29.0 이전 버전에는 YouTubeAPI 갤러리 페이지네이션을 통해 인증되지 않은 Reflected XSS 취약점이 존재합니다. $_GET['search'] 쿼리 파라미터가 plugin/YouTubeAPI/gallerySection.php(67행 및 74행)의 두 페이지네이션 링크 href 속성에 htmlspecialchars, urlencode, 허용 목록 검사 없이 직접 연결됩니다. 주입된 <script> 요소는 이후 AVideo Layout 플러그인에 의해 추출되어 페이지 하단의 단일 인라인 스크립트 블록에 결합되며 브라우저에서 이를 실행합니다. 인증되지 않은 공격자는 피해자를 조작된 URL로 유도하여 AVideo 출처 내에서 임의 JavaScript를 실행할 수 있으며, 이는 HttpOnly가 아닌 쿠키 읽기와 피해자 권한으로 인증된 AJAX 요청 수행을 가능하게 합니다. 또한 피해자가 관리자일 경우 사용자 생성, 관리자 승급, 구성 변경, 플러그인 설치 등 모든 쿠키 기반 인증 관리 작업을 수행하여 단일 클릭만으로 전체 관리자 탈취로 이어질 수 있습니다. 이 문제는 다음 커밋에서 패치되었습니다: https://github.com/WWBN/AVideo/commit/f50fc033b7adb36f1ffd6640e7826468bdafdec3

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 04.

모더레이션

수락

항목

VDB-379423

EPSS

0.00178

출처

Want to know what is going to be exploited?

We predict KEV entries!