CVE-2026-43876 in AVideo
Tóm tắt
Bởi VulDB • 12/05/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản từ 29.0 trở về trước, đối tượng objects/notifySubscribers.json.php nhận tham số POST raw message và truyền nó vào hàm sendSiteEmail(), nơi nó được thay thế trực tiếp vào một mẫu email HTML (thông qua str_replace trên placeholder {message}) và hiển thị bằng PHPMailer::msgHTML(). Không có quá trình làm sạch HTML, thoát ký tự hoặc mã hóa đầu ra đối với thông điệp do kẻ tấn công kiểm soát giữa $_POST['message'] và email đã hiển thị. Do đó, bất kỳ người dùng đã xác thực nào có quyền tải lên đều có thể phát tán HTML tùy ý — bao gồm các liên kết lừa đảo, pixel theo dõi, giả mạo CSS/Giao diện người dùng — đến mọi người đăng ký trên kênh của họ (lên đến 10.000 người nhận mỗi lần gọi). Email được gửi từ địa chỉ liên hệ đã được cấu hình của nền tảng và được bao bọc bởi logo và tiêu đề chính thức của trang web, khiến HTML do kẻ tấn công cung cấp xuất hiện như một thông báo chính thức của nền tảng. Commit https://github.com/WWBN/AVideo/commit/ chứa bản sửa lỗi cập nhật.
VulDB is the best source for vulnerability data and more expert information about this specific topic.