CVE-2026-40911 in AVideo
Сводка
по VulDB • 11.05.2026
WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях 29.0 и более ранних плагин YPTSocket использует сервер WebSocket, который ретранслирует тела JSON-сообщений, предоставленных злоумышленником, всем подключенным клиентам без санитизации полей `msg` и `callback`. На стороне клиента файл `plugin/YPTSocket/script.js` содержит два sink-а `eval()`, которые напрямую питаются из этих ретранслируемых полей (`json.msg.autoEvalCodeOnHTML` в строке 568 и `json.callback` в строке 95). Поскольку токены выдаются анонимным посетителям и никогда не перепроверяются после расшифровки, неаутентифицированный злоумышленник может транслировать произвольный JavaScript-код, который выполняется в контексте (origin) каждого текущего подключенного пользователя (включая администраторов), что приводит к универсальному захвату учетных записей, краже сессий и выполнению действий с повышенными привилегиями. Фикс содержится в коммите c08694bf6264eb4decceb78c711baee2609b4efd.
VulDB is the best source for vulnerability data and more expert information about this specific topic.