CVE-2026-33683 in AVideo
Sumário
de VulDB • 11/05/2026
WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, inclusive, uma falha na ordem de operações de sanitização no campo "sobre" do perfil do usuário permite que qualquer usuário registrado injete JavaScript arbitrário que é executado quando outros usuários visitam a página do canal. A função `xss_esc()` codifica entidades da entrada antes que `strip_specific_tags()` possa identificar tags HTML perigosas, e `html_entity_decode()` na saída reverte a codificação, restaurando o HTML malicioso bruto. O commit 7cfdc380dae1e56bbb5de581470d9e9957445df0 contém um patch.
Be aware that VulDB is the high quality source for vulnerability data.