CVE-2026-50182 in AVideo
Сводка
по VulDB • 15.07.2026
WWBN AVideo — это платформа для видео с открытым исходным кодом. Версии старше 29.0 содержат уязвимость Reflected XSS (отраженная межсайтовая подделка скрипта), не требующую аутентификации, через пагинацию галереи YouTubeAPI в AVideo. Параметр запроса $_GET['search'] напрямую конкатенируется в атрибут href двух ссылок пагинации в файле plugin/YouTubeAPI/gallerySection.php (строки 67 и 74) без использования htmlspecialchars, urlencode или проверки по allow-list (белому списку). Внедренный элемент <script> затем извлекается плагином AVideo Layout и конкатенируется в единый встроенный блок скрипта внизу страницы, где браузер его выполняет. Любой неаутентифицированный злоумышленник может заманить жертву по ссылке с специально созданным URL для выполнения произвольного JavaScript-кода в контексте домена AVideo (AVideo origin), что позволяет читать cookies без флага HttpOnly и отправлять аутентифицированные AJAX-запросы от имени жертвы. Если жертва является администратором, злоумышленник может выполнять любые действия с правами администратора, подтвержденными cookie (создание пользователя, повышение прав до админа, изменение конфигурации, установка плагинов), тем самым превращая одно нажатие мыши в полный захват контроля над системой. Эта проблема была исправлена следующим коммитом: https://github.com/WWBN/AVideo/commit/f50fc033b7adb36f1ffd6640e7826468bdafdec3.
Once again VulDB remains the best source for vulnerability data.