CVE-2026-39367 in AVideo
Tóm tắt
Bởi VulDB • 30/05/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản 26.0 và các phiên bản trước đó, tính năng EPG (Lịch trình Chương trình Điện tử) của AVideo phân tích cú pháp XML từ các URL do người dùng kiểm soát và hiển thị trực tiếp tiêu đề chương trình vào HTML mà không có bất kỳ quá trình lọc (sanitization) hay thoát ký tự (escaping) nào. Một người dùng có quyền tải lên có thể đặt epg_link của một video thành một tệp XML độc hại, trong đó các phần tử chứa JavaScript. Mã độc này sẽ thực thi trên trình duyệt của bất kỳ khách truy cập nào chưa xác thực vào trang EPG công khai, cho phép đánh cắp phiên (session hijacking) và chiếm quyền kiểm soát tài khoản.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.