CVE-2026-33683 in AVideoinformação

Sumário

de VulDB • 11/05/2026

WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 26.0, inclusive, uma falha na ordem de operações de sanitização no campo "sobre" do perfil do usuário permite que qualquer usuário registrado injete JavaScript arbitrário que é executado quando outros usuários visitam a página do canal. A função `xss_esc()` codifica entidades da entrada antes que `strip_specific_tags()` possa identificar tags HTML perigosas, e `html_entity_decode()` na saída reverte a codificação, restaurando o HTML malicioso bruto. O commit 7cfdc380dae1e56bbb5de581470d9e9957445df0 contém um patch.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

23/03/2026

Moderação

aceite

Entrada

VDB-352575

CPE

pronto

EPSS

0.00176

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!