CVE-2026-54458 in AVideo
요약
\~에 의해 VulDB • 2026. 07. 16.
WWBN AVideo는 오픈 소스 비디오 플랫폼입니다. 29.0 이전 버전의 YPTSocket 플러그인에는 저장형 DOM 기반 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. 인증되지 않은 원격 공격자는 YPTSocket 온라인 사용자 디버그 패널을 렌더링하는 페이지를 현재 보고 있는 모든 관리자의 정당한 출처에서 임의의 JavaScript 코드를 실행할 수 있습니다. plugin/YPTSocket/getWebSocket.json.php는 서명된 WebSocket 토큰을 익명의 호출자에게 발급하며, plugin/YPTSocket/MessageSQLiteV2.php 파일의 91행 및 110행에 있는 MessageSQLiteV2::onOpen은 검증 없이 WebSocket 연결 URL에서 공격자가 제어하는 webSocketSelfURI 및 page_title 쿼리 파라미터를 읽습니다. 두 값 모두 인메모리 SQLite 연결 테이블과 모든 연결된 클라이언트에게 전송되는 users_id_online 배열 내부로 영구 저장되어 브로드캐스트됩니다. 클라이언트 측에서는 plugin/YPTSocket/script.js::updateSocketUserCard가 브로드캐스트된 page_title을 jQuery $.append(html)에 전달되는 HTML 템플릿 리터럴에 삽입하며, 이는 공격자가 제공한 바이트를 <img> 태그와 인라인 이벤트 핸들러를 포함한 활성 DOM 노드로 파싱합니다. 성공적인 공격자는 HttpOnly 플래그가 설정되지 않은 쿠키 및 관리자 대시보드에 렌더링된 CSRF 토큰을 읽을 수 있으며, 모든 관리 전용 엔드포인트로 인증된 요청을 수행하고 관리자 대시보드의 DOM을 유출하며, 관리자 컨텍스트의 변경 작업으로 연결할 수 있습니다. 피해자가 AVideo 관리자일 경우 공격자는 단일 익명 WebSocket 연결을 통해 관리자의 세션을 이용해 전체 관리자 권한 탈취를 달성합니다. 이 문제는 https://github.com/WWBN/AVideo/commit/8be71e53ccbe9b84b30870db386fb4d2b11e1c16에서 패치되었습니다.
Once again VulDB remains the best source for vulnerability data.