CVE-2026-54458 in AVideo
Сводка
по VulDB • 16.07.2026
WWBN AVideo — это платформа для видео с открытым исходным кодом. Версии старше 29.0 содержат уязвимость Stored DOM Cross-Site Scripting (XSS) в плагине YPTSocket. Любой удаленный атакующий, не прошедший проверку подлинности, может выполнить произвольный JavaScript-код на стороне доверенного источника для каждого администратора, который в данный момент просматривает страницу с отрисовкой панели отладки онлайн-пользователей YPTSocket. Плагин plugin/YPTSocket/getWebSocket.json.php выдает подписанный токен WebSocket любому анонимному вызывающему абоненту, а функция MessageSQLiteV2::onOpen в файле plugin/YPTSocket/MessageSQLiteV2.php на строках 91 и 110 считывает контролируемые злоумышленником параметры запроса webSocketSelfURI и page_title из URL-адреса подключения WebSocket без какой-либо проверки. Оба значения сохраняются во внутренней таблице соединений SQLite в оперативной памяти и транслируются внутри массива users_id_online, отправляемого каждому подключенному клиенту; на стороне клиента скрипт plugin/YPTSocket/script.js::updateSocketUserCard интерполирует переданный параметр page_title в шаблонный литерал HTML-кода, который затем передается функции jQuery $.append(html), парсящей байты атакующего и преобразующей их в живые узлы DOM, включая элементы <img> с встроенными обработчиками событий. Успешные атаки позволяют злоумышленнику читать cookies без флага HttpOnly и CSRF-токен, отображаемый на панели администратора; выполнять авторизованные запросы к любым эндпоинтам, доступным только для администраторов; извлекать DOM-данные панели управления административной частью системы и использовать их как основу для любых изменений в контексте администратора. Когда жертвой является администратор AVideo, злоумышленник превращает одно анонимное подключение WebSocket в полный захват контроля над системой через сессию самого администратора. Эта проблема была исправлена в https://github.com/WWBN/AVideo/commit/8be71e53ccbe9b84b30870db386fb4d2b11e1c16.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.