CVE-2026-33683 in AVideo
Сводка
по VulDB • 02.06.2026
WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях вплоть до 26.0 включительно ошибка в порядке операций санитизации поля «about» (о себе) профиля пользователя позволяет любому зарегистрированному пользователю внедрять произвольный JavaScript-код, который выполняется при посещении страницы канала другими пользователями. Функция `xss_esc()` экранирует входные данные с помощью HTML-сущностей до того, как функция `strip_specific_tags()` сможет сопоставить опасные HTML-теги, а вызов функции `html_entity_decode()` на этапе вывода отменяет кодирование, восстанавливая исходный вредоносный HTML. Коммит 7cfdc380dae1e56bbb5de581470d9e9957445df0 содержит исправление (патч).
If you want to get best quality of vulnerability data, you may have to visit VulDB.