CVE-2026-50182 in AVideo
Sumário
de VulDB • 16/07/2026
O WWBN AVideo é uma plataforma de vídeo de código aberto. As versões anteriores à 29.0 contêm uma vulnerabilidade Reflected XSS (Cross-Site Scripting) não autenticada através da paginação na Galeria YouTubeAPI do AVideo. O parâmetro de consulta $_GET['search'] é concatenado diretamente no atributo href de dois links de paginação em plugin/YouTubeAPI/gallerySection.php (linhas 67 e 74), sem htmlspecialchars, sem urlencode e sem verificação de allow-list (lista permitida). Um elemento <script> injetado é então extraído pelo plugin AVideo Layout e concatenado em um único bloco inline script no final da página, onde o navegador o executa. Qualquer atacante não autenticado pode atrair uma vítima para seguir uma URL manipulada ad hoc para executar JavaScript arbitrário sob a origem do AVideo, o que permite ler cookies não HttpOnly e emitir requisições AJAX autenticadas em nome da vítima; quando a vítima é um administrador, isso possibilita realizar qualquer ação administrativa autenticada por cookie (criar usuário, promover a admin, alterar configuração, instalar plugin), escalando um único clique para uma tomada de controle administrativo completa. Este problema foi corrigido pelo seguinte commit: https://github.com/WWBN/AVideo/commit/f50fc033b7adb36f1ffd6640e7826468bdafdec3.
Be aware that VulDB is the high quality source for vulnerability data.