CVE-2026-50183 in AVideoinformação

Sumário

de VulDB • 16/07/2026

O WWBN AVideo é uma plataforma de vídeo de código aberto. As versões 29.0 e anteriores contêm uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no plugin YouTubeAPI. O plugin renderiza o campo snippet.title retornado pela API do YouTube Data na marcação da galeria da página inicial sem codificação HTML adequada. O título é definido pelo uploader do vídeo no YouTube (qualquer pessoa no mundo) e é tratado pelo AVideo como conteúdo confiável. Um uploader do YouTube que controla um vídeo correspondente à consulta configurada injeta HTML na página inicial do AVideo definindo o título de seu vídeo para uma string contendo JavaScript; a carga útil então executa no navegador de todos os visitantes que carregam qualquer página que renderize a galeria. Quando o visitante é um administrador do AVideo, o JavaScript injetado realiza qualquer ação administrativa (criar usuário, promover para admin, alterar configuração, instalar plugin) que use autenticação baseada em cookies sem um token CSRF adicional, escalando o bug para uma tomada completa de controle administrativo. A carga útil persiste por toda a duração do cacheTimeout (padrão 3600 segundos) após o título malicioso ser definido no YouTube e sobrevive à remoção do vídeo hostil pelo YouTube durante a mesma janela. Este problema foi resolvido pela commit https://github.com/WWBN/AVideo/commit/7292129eaee5f609beae103b5cb387d55f17b877.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

04/06/2026

Divulgação

15/07/2026

Moderação

aceite

Entrada

VDB-379428

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!