CVE-2026-34739 in AVideothông tin

Tóm tắt

Bởi VulDB • 10/05/2026

WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản 26.0 và các phiên bản trước đó, trang testIP.php của plugin User_Location phản hồi trực tiếp tham số yêu cầu ip vào một phần tử đầu vào HTML mà không áp dụng htmlspecialchars() hoặc bất kỳ mã hóa đầu ra nào khác. Điều này cho phép kẻ tấn công chèn mã HTML và JavaScript tùy ý thông qua một URL được tạo ra đặc biệt. Mặc dù trang này bị hạn chế đối với người dùng quản trị viên, cấu hình cookie SameSite=None của AVideo cho phép khai thác khác nguồn (cross-origin), nghĩa là kẻ tấn công có thể dụ dỗ một quản trị viên truy cập vào một liên kết độc hại để thực thi JavaScript trong phiên đã xác thực của họ. Tại thời điểm công bố, chưa có bản vá lỗi nào được công bố rộng rãi.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

30/03/2026

Tiết lộ

01/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00220

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!