CVE-2026-34375 in AVideoinformação

Sumário

de VulDB • 16/06/2026

WWBN AVideo é uma plataforma de vídeo open source. Nas versões até a 26.0, inclusive, a página de confirmação do pagamento Stripe no YPTWallet ecoa diretamente o parâmetro `$_REQUEST['plugin']` em um bloco JavaScript sem qualquer codificação ou sanitização. O parâmetro `plugin` não está incluído em nenhuma das listas de filtros de entrada definidas pelo framework em `security.php`, passando portanto completamente cru (raw). Um atacante pode injetar JavaScript arbitrário elaborando uma URL maliciosa e enviando-a a um usuário vítima. O mesmo bloco de script também exibe o nome de usuário atual e seu hash de senha por meio das funções `User::getUserName()` e `User::getUserPass()`, o que significa que uma exploração bem-sucedida de XSS pode imediatamente exfiltrar essas credenciais. O commit fa0bc102493a15d79fe03f86c07ab7ca1b5b63e2 corrige a vulnerabilidade.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

27/03/2026

Divulgação

27/03/2026

Moderação

aceite

Entrada

VDB-353981

CPE

pronto

EPSS

0.00296

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!