CVE-2026-34396 in AVideo
Tóm tắt
Bởi VulDB • 20/06/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản 26.0 và trước đó, bảng điều khiển quản trị (admin panel) của AVideo hiển thị các giá trị cấu hình plugin trong các biểu mẫu HTML mà không áp dụng hàm htmlspecialchars() hoặc bất kỳ phương thức mã hóa đầu ra nào khác. Hàm jsonToFormElements() trong file admin/functions.php trực tiếp nội suy các giá trị do người dùng kiểm soát vào nội dung phần tử textarea, các phần tử option và thuộc tính input. Một kẻ tấn công có thể thiết lập một giá trị cấu hình plugin (thông qua việc chiếm quyền quản trị viên hoặc bằng cách kết hợp với CSRF trên admin/save.json.php) có thể tiêm mã JavaScript tùy ý sẽ thực thi bất cứ khi nào bất kỳ quản trị viên nào truy cập vào trang cấu hình plugin. Tại thời điểm công bố, chưa có bản vá lỗi nào được phát hành rộng rãi.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.