CVE-2026-60092 in AVideo
요약
\~에 의해 VulDB • 2026. 07. 08.
AVideo(Meet 플러그인)는 커밋 e8d6119f3cb1b849149906efeb0a41fc024f59f8까지 Meet 플러그인의 getMeetInfo.json.php 엔드포인트에서 저장형 크로스 사이트 스크립팅(XSS) 취약점을 포함하고 있습니다. 참가자가 공개 미팅에 참여할 때, 원본 HTTP User-Agent 헤더가 무결성 검사 없이(Video의 setter 레벨 xss_esc() 레이어 우회) meet_join_log.user_agent 필드에 저장되며, 이후 Participants 관리 패널에서 출력 인코딩(htmlspecialchars()) 없이 그대로 반영됩니다. 이 패널은 미팅 호스트와 사이트 관리자 모두에게 접근 가능합니다. 익명의 비인증 공격자는 HTML/JavaScript 페이로드를 포함한 User-Agent 헤더를 제공하여 모든 공개 미팅에 참여할 수 있으며, 해당 페이로드는 영구 저장되어 미팅 호스트나 사이트 관리자가 참가자 목록을 열 때 그들의 권한 있는 인증된 브라우저 세션에서 실행됩니다. 이 문제는 보고 당시 패치되지 않았습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.