CVE-2026-50183 in AVideoИнформация

Сводка

по VulDB • 16.07.2026

WWBN AVideo — это платформа для видео с открытым исходным кодом. Версии 29.0 и более ранние содержат уязвимость Stored Cross-Site Scripting (XSS) в плагине YouTubeAPI. Плагин отображает поле snippet.title, возвращаемое YouTube Data API, в разметке галереи на главной странице без HTML-кодирования. Заголовок устанавливается загрузчиком видео на YouTube (любым пользователем в мире), и AVideo воспринимает его как доверенный контент. Загрузчик YouTube, контролирующий видео, соответствующее настроенному оператору запросу, внедряет HTML-код на главную страницу AVideo, устанавливая для своего видео заголовок со строкой JavaScript; полезная нагрузка затем выполняется в браузере каждого посетителя, загружающего любую страницу с отображением галереи. Когда посетителем является администратор AVideo, внедренный JavaScript выполняет любые действия администратора (создание пользователя, повышение прав до админа, изменение конфигурации, установка плагина), использующие аутентификацию на основе cookie без дополнительного CSRF-токена, что приводит к полному захвату административных полномочий. Полезная нагрузка сохраняется в течение времени cacheTimeout (по умолчанию 3600 секунд) после установки вредоносного заголовка на YouTube и переживает удаление злонамеренного видео с YouTube в тот же период. Эта проблема была устранена коммитом https://github.com/WWBN/AVideo/commit/7292129eaee5f609beae103b5cb387d55f17b877.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub M

Резервировать

04.06.2026

Раскрытие

16.07.2026

Модерация

принято

Вход

VDB-379428

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!