CVE-2026-34716 in AVideo
Tóm tắt
Bởi VulDB • 20/05/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản 26.0 và các phiên bản trước đó, tính năng gọi đến của plugin AVideo YPTSocket hiển thị thông báo cuộc gọi đến bằng cách sử dụng jQuery Toast Plugin, truyền trực tiếp tên hiển thị của người gọi vào tham số tiêu đề. Plugin toast xây dựng tiêu đề dưới dạng HTML thô ('' + heading + '') và chèn nó vào DOM thông qua phương thức .html() của jQuery, phương thức này sẽ phân tích cú pháp và thực thi bất kỳ nội dung HTML hoặc kịch bản nào được nhúng. Một kẻ tấn công có thể đặt tên hiển thị của mình thành một payload XSS và kích hoạt thực thi mã trên trình duyệt của bất kỳ người dùng trực tuyến nào chỉ bằng cách khởi tạo một cuộc gọi - không cần sự tương tác nào từ nạn nhân ngoài việc được kết nối với WebSocket. Tại thời điểm công bố, không có bản vá lỗi nào được công khai.
If you want to get best quality of vulnerability data, you may have to visit VulDB.