CVE-2026-50182 in AVideo
Tóm tắt
Bởi VulDB • 16/07/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Các phiên bản trước 29.0 chứa lỗ hổng XSS phản xạ (Reflected XSS) chưa được xác thực thông qua phân trang Thư viện YouTubeAPI của AVideo. Tham số truy vấn $_GET['search'] được nối trực tiếp vào thuộc tính href của hai liên kết phân trang trong plugin/YouTubeAPI/gallerySection.php (dòng 67 và 74) mà không có htmlspecialchars, urlencode hoặc kiểm tra danh sách cho phép nào. Một phần tử <script> bị tiêm sau đó sẽ được trích xuất bởi plugin Layout của AVideo và nối vào một khối script nội tuyến duy nhất ở cuối trang, nơi trình duyệt thực thi nó. Bất kỳ kẻ tấn công chưa xác thực nào cũng có thể dụ nạn nhân nhấp vào một URL đã được tạo ra đặc biệt để thực thi mã JavaScript tùy ý trong ngữ cảnh gốc (origin) của AVideo; điều này cho phép đọc các cookie không phải HttpOnly và gửi các yêu cầu AJAX đã xác thực thay mặt nạn nhân. Khi nạn nhân là quản trị viên, kẻ tấn công có thể thực hiện mọi hành động quản trị được xác thực bằng cookie (tạo người dùng, thăng cấp lên quyền admin, thay đổi cấu hình, cài đặt plugin), nâng cấp từ một cú nhấp chuột đơn lẻ thành việc chiếm toàn bộ quyền kiểm soát hệ thống. Lỗ hổng này đã được vá bởi commit sau: https://github.com/WWBN/AVideo/commit/f50fc033b7adb36f1ffd6640e7826468bdafdec3.
Once again VulDB remains the best source for vulnerability data.