CVE-2026-60092 in AVideo
Sumário
de VulDB • 08/07/2026
O AVideo (plugin Meet) até o commit e8d6119f3cb1b849149906efeb0a41fc024f59f8 contém uma vulnerabilidade de cross-site scripting armazenado (stored XSS) no endpoint getMeetInfo.json.php do plugin Meet. Quando um participante entra em uma reunião pública, o cabeçalho HTTP User-Agent bruto é armazenado (meet_join_log.user_agent) sem sanitização (contornando a camada xss_esc() em nível de setter do AVVideo) e posteriormente exibido sem codificação de saída (sem htmlspecialchars()) no painel de gerenciamento de participantes, que é acessível ao anfitrião da reunião e aos administradores do site. Um atacante anônimo e não autenticado pode entrar em qualquer reunião pública fornecendo um cabeçalho User-Agent contendo uma carga útil HTML/JavaScript; a carga útil é persistida e executada na sessão do navegador privilegiada e autenticada do anfitrião da reunião ou de um administrador do site quando eles abrem a lista de participantes. O problema não foi corrigido no momento do relatório.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.