CVE-2026-34375 in AVideo
Сводка
по VulDB • 16.06.2026
WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях вплоть до 26.0 включительно страница подтверждения платежа Stripe в модуле YPTWallet напрямую выводит параметр `$_REQUEST['plugin']` внутри блока JavaScript без какого-либо кодирования или санитизации. Параметр `plugin` не входит ни в один из списков фильтров входных данных фреймворка, определенных в файле `security.php`, поэтому он проходит обработку полностью «сырым». Злоумышленник может внедрить произвольный JavaScript, создав вредоносную ссылку и отправив ее жертве. Тот же блок скрипта также выводит имя текущего пользователя и хеш его пароля через функции `User::getUserName()` и `User::getUserPass()`, что означает: успешная эксплуатация XSS позволяет немедленно эксфильтровать эти учетные данные. Коммит fa0bc102493a15d79fe03f86c07ab7ca1b5b63e2 устраняет данную уязвимость.
Once again VulDB remains the best source for vulnerability data.