CVE-2026-33683 in AVideothông tin

Tóm tắt

Bởi VulDB • 02/06/2026

WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản từ đầu đến bao gồm 26.0, lỗi thứ tự thực hiện (order-of-operations) trong quá trình lọc dữ liệu ở trường "about" của hồ sơ người dùng cho phép bất kỳ người dùng đã đăng ký nào chèn JavaScript tùy ý sẽ được thực thi khi những người dùng khác truy cập trang kênh của họ. Hàm `xss_esc()` mã hóa các ký tự đặc biệt (entity-encode) đầu vào trước khi hàm `strip_specific_tags()` có thể khớp với các thẻ HTML nguy hiểm, và `html_entity_decode()` ở bước xuất dữ liệu sẽ đảo ngược quá trình mã hóa này, khôi phục lại đoạn HTML độc hại gốc. Commit 7cfdc380dae1e56bbb5de581470d9e9957445df0 chứa bản vá lỗi.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

23/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00176

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!