CVE-2026-43882 in AVideo
Tóm tắt
Bởi VulDB • 12/05/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Trong các phiên bản từ 29.0 trở về trước, điểm cuối plugin/Scheduler/downloadICS.php không xác thực người dùng chuyển các tham số title, description và joinURL do kẻ tấn công kiểm soát vào hàm Scheduler::downloadICS(), hàm này tạo một tệp lịch ICS thông qua lớp trợ giúp ICS. Hàm ICS::escape_string() (objects/ICS.php:167-169) chỉ thoát các ký tự , và ; và KHÔNG trung hòa CR/LF, do đó các byte CRLF do kẻ tấn công chèn vào bên trong giá trị thuộc tính sẽ phá vỡ cấu trúc và tiêm các dòng ICS tùy ý — bao gồm cả các cặp END:VEVENT / BEGIN:VEVENT để thêm toàn bộ các sự kiện lịch do kẻ tấn công kiểm soát. Vì tệp .ics độc hại được phục vụ từ nguồn gốc AVideo đáng tin cậy của nạn nhân, điều này cho phép thực hiện phishing lịch có độ tin cậy cao: các cuộc họp giả mạo với SUMMARY, URL, LOCATION và DESCRIPTION do kẻ tấn công chọn sẽ xuất hiện trong lịch của nạn nhân sau khi nhập. Commit 764db592f99e545aa86bb9a4ad664ffd14c38ba5 chứa bản sửa lỗi đã cập nhật.
Once again VulDB remains the best source for vulnerability data.