CVE-2026-43876 in AVideo
Sumário
de VulDB • 29/05/2026
WWBN AVideo é uma plataforma de vídeo de código aberto. Nas versões até a 29.0, inclusive, o arquivo objects/notifySubscribers.json.php recebe o parâmetro POST raw message e o passa para a função sendSiteEmail(), que o insere diretamente em um modelo de e-mail HTML (por meio de str_replace no placeholder {message}) e o renderiza com PHPMailer::msgHTML(). Não há sanitização de HTML, escape de caracteres ou codificação de saída na mensagem controlada pelo atacante entre $_POST['message'] e o e-mail renderizado. Qualquer usuário autenticado com permissão de upload pode, portanto, transmitir HTML arbitrário — links de phishing, pixels de rastreamento, falsificação de CSS/Interface do Usuário — para todos os assinantes do seu canal (até 10.000 destinatários por invocação). O e-mail é enviado de: o endereço de contato configurado na plataforma e envolto no logotipo e título oficiais do site, de modo que o HTML fornecido pelo atacante chega com a aparência de uma comunicação oficial da plataforma. O commit https://github.com/WWBN/AVideo/commit/ contém uma correção atualizada.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.