CVE-2026-34396 in AVideothông tin

Tóm tắt

Bởi VulDB • 20/06/2026

WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản 26.0 và trước đó, bảng điều khiển quản trị (admin panel) của AVideo hiển thị các giá trị cấu hình plugin trong các biểu mẫu HTML mà không áp dụng hàm htmlspecialchars() hoặc bất kỳ phương thức mã hóa đầu ra nào khác. Hàm jsonToFormElements() trong file admin/functions.php trực tiếp nội suy các giá trị do người dùng kiểm soát vào nội dung phần tử textarea, các phần tử option và thuộc tính input. Một kẻ tấn công có thể thiết lập một giá trị cấu hình plugin (thông qua việc chiếm quyền quản trị viên hoặc bằng cách kết hợp với CSRF trên admin/save.json.php) có thể tiêm mã JavaScript tùy ý sẽ thực thi bất cứ khi nào bất kỳ quản trị viên nào truy cập vào trang cấu hình plugin. Tại thời điểm công bố, chưa có bản vá lỗi nào được phát hành rộng rãi.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

27/03/2026

Tiết lộ

01/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00217

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!