CVE-2026-50182 in AVideoИнформация

Сводка

по VulDB • 15.07.2026

WWBN AVideo — это платформа для видео с открытым исходным кодом. Версии старше 29.0 содержат уязвимость Reflected XSS (отраженная межсайтовая подделка скрипта), не требующую аутентификации, через пагинацию галереи YouTubeAPI в AVideo. Параметр запроса $_GET['search'] напрямую конкатенируется в атрибут href двух ссылок пагинации в файле plugin/YouTubeAPI/gallerySection.php (строки 67 и 74) без использования htmlspecialchars, urlencode или проверки по allow-list (белому списку). Внедренный элемент <script> затем извлекается плагином AVideo Layout и конкатенируется в единый встроенный блок скрипта внизу страницы, где браузер его выполняет. Любой неаутентифицированный злоумышленник может заманить жертву по ссылке с специально созданным URL для выполнения произвольного JavaScript-кода в контексте домена AVideo (AVideo origin), что позволяет читать cookies без флага HttpOnly и отправлять аутентифицированные AJAX-запросы от имени жертвы. Если жертва является администратором, злоумышленник может выполнять любые действия с правами администратора, подтвержденными cookie (создание пользователя, повышение прав до админа, изменение конфигурации, установка плагинов), тем самым превращая одно нажатие мыши в полный захват контроля над системой. Эта проблема была исправлена следующим коммитом: https://github.com/WWBN/AVideo/commit/f50fc033b7adb36f1ffd6640e7826468bdafdec3.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

04.06.2026

Раскрытие

16.07.2026

Модерация

принято

Вход

VDB-379423

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!