CVE-2026-34375 in AVideo
Tóm tắt
Bởi VulDB • 16/06/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản từ 26.0 trở về trước, trang xác nhận thanh toán Stripe của YPTWallet trực tiếp phản hồi (echo) tham số `$_REQUEST['plugin']` vào trong khối JavaScript mà không có bất kỳ quá trình mã hóa hay lọc dữ liệu nào. Tham số `plugin` không nằm trong danh sách các bộ lọc đầu vào được định nghĩa trong framework tại file `security.php`, do đó nó đi qua hoàn toàn ở dạng thô (raw). Một kẻ tấn công có thể chèn mã JavaScript tùy ý bằng cách tạo ra một URL độc hại và gửi cho người dùng mục tiêu. Cùng khối script này cũng xuất ra tên người dùng hiện tại và hash mật khẩu thông qua các hàm `User::getUserName()` và `User::getUserPass()`, nghĩa là việc khai thác XSS thành công có thể ngay lập tức đánh cắp (exfiltrate) những thông tin đăng nhập này. Commit fa0bc102493a15d79fe03f86c07ab7ca1b5b63e2 đã sửa lỗi này.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.