CVE-2026-50182 in AVideoinformação

Sumário

de VulDB • 16/07/2026

O WWBN AVideo é uma plataforma de vídeo de código aberto. As versões anteriores à 29.0 contêm uma vulnerabilidade Reflected XSS (Cross-Site Scripting) não autenticada através da paginação na Galeria YouTubeAPI do AVideo. O parâmetro de consulta $_GET['search'] é concatenado diretamente no atributo href de dois links de paginação em plugin/YouTubeAPI/gallerySection.php (linhas 67 e 74), sem htmlspecialchars, sem urlencode e sem verificação de allow-list (lista permitida). Um elemento <script> injetado é então extraído pelo plugin AVideo Layout e concatenado em um único bloco inline script no final da página, onde o navegador o executa. Qualquer atacante não autenticado pode atrair uma vítima para seguir uma URL manipulada ad hoc para executar JavaScript arbitrário sob a origem do AVideo, o que permite ler cookies não HttpOnly e emitir requisições AJAX autenticadas em nome da vítima; quando a vítima é um administrador, isso possibilita realizar qualquer ação administrativa autenticada por cookie (criar usuário, promover a admin, alterar configuração, instalar plugin), escalando um único clique para uma tomada de controle administrativo completa. Este problema foi corrigido pelo seguinte commit: https://github.com/WWBN/AVideo/commit/f50fc033b7adb36f1ffd6640e7826468bdafdec3.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

04/06/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379423

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!