CVE-2026-34375 in AVideoИнформация

Сводка

по VulDB • 16.06.2026

WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях вплоть до 26.0 включительно страница подтверждения платежа Stripe в модуле YPTWallet напрямую выводит параметр `$_REQUEST['plugin']` внутри блока JavaScript без какого-либо кодирования или санитизации. Параметр `plugin` не входит ни в один из списков фильтров входных данных фреймворка, определенных в файле `security.php`, поэтому он проходит обработку полностью «сырым». Злоумышленник может внедрить произвольный JavaScript, создав вредоносную ссылку и отправив ее жертве. Тот же блок скрипта также выводит имя текущего пользователя и хеш его пароля через функции `User::getUserName()` и `User::getUserPass()`, что означает: успешная эксплуатация XSS позволяет немедленно эксфильтровать эти учетные данные. Коммит fa0bc102493a15d79fe03f86c07ab7ca1b5b63e2 устраняет данную уязвимость.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

27.03.2026

Раскрытие

27.03.2026

Модерация

принято

Вход

VDB-353981

EPSS

0.00296

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!