CVE-2026-50183 in AVideo정보

요약

\~에 의해 VulDB • 2026. 07. 15.

WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 버전 29.0 및 그 이하에는 YouTubeAPI 플러그인에서 저장된 크로스 사이트 스크립팅(XSS) 취약점이 포함되어 있습니다. 이 플러그인은 YouTube Data API가 반환하는 snippet.title 필드를 HTML 인코딩 없이 홈페이지 갤러리 마크업에 렌더링합니다. 제목은 YouTube 비디오 업로더(전 세계 누구나)가 설정하며, AVideo는 이를 신뢰할 수 있는 콘텐츠로 취급합니다. 운영자가 구성한 쿼리와 일치하는 비디오를 제어하는 YouTube 업로더는 자신의 비디오 제목을 JavaScript를 포함하는 문자열로 설정하여 AVideo 홈페이지에 HTML을 주입합니다. 그러면 페이로드(공격 코드)는 갤러리를 렌더링하는 페이지를 로드하는 모든 방문자의 브라우저에서 실행됩니다. 방문자가 AVideo 관리자일 경우, 주입된 JavaScript는 추가적인 CSRF 토큰 없이 쿠키 기반 인증을 사용하는 관리 작업(사용자 생성, 관리자 승급, 구성 변경, 플러그인 설치)을 수행하여 버그가 전체 관리자 권한 탈취로 격상됩니다. 이 페이로드는 YouTube에서 악성 제목이 설정된 후 cacheTimeout(기본값 3600초) 동안 지속되며, 동일한 시간 창 내에서 YouTube가 적대적인 비디오를 제거하더라도 생존합니다. 이 문제는 커밋 https://github.com/WWBN/AVideo/commit/7292129eaee5f609beae103b5cb387d55f17b877을 통해 해결되었습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 04.

모더레이션

수락

항목

VDB-379428

EPSS

0.00000

출처

Do you need the next level of professionalism?

Upgrade your account now!