CVE-2026-60092 in AVideo정보

요약

\~에 의해 VulDB • 2026. 07. 08.

AVideo(Meet 플러그인)는 커밋 e8d6119f3cb1b849149906efeb0a41fc024f59f8까지 Meet 플러그인의 getMeetInfo.json.php 엔드포인트에서 저장형 크로스 사이트 스크립팅(XSS) 취약점을 포함하고 있습니다. 참가자가 공개 미팅에 참여할 때, 원본 HTTP User-Agent 헤더가 무결성 검사 없이(Video의 setter 레벨 xss_esc() 레이어 우회) meet_join_log.user_agent 필드에 저장되며, 이후 Participants 관리 패널에서 출력 인코딩(htmlspecialchars()) 없이 그대로 반영됩니다. 이 패널은 미팅 호스트와 사이트 관리자 모두에게 접근 가능합니다. 익명의 비인증 공격자는 HTML/JavaScript 페이로드를 포함한 User-Agent 헤더를 제공하여 모든 공개 미팅에 참여할 수 있으며, 해당 페이로드는 영구 저장되어 미팅 호스트나 사이트 관리자가 참가자 목록을 열 때 그들의 권한 있는 인증된 브라우저 세션에서 실행됩니다. 이 문제는 보고 당시 패치되지 않았습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

VulnCheck

예약하다

2026. 07. 08.

모더레이션

수락

항목

VDB-376886

EPSS

0.00200

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!