CVE-2026-50183 in AVideo
Tóm tắt
Bởi VulDB • 16/07/2026
WWBN AVideo là một nền tảng video mã nguồn mở. Các phiên bản 29.0 trở xuống chứa lỗ hổng Cross-Site Scripting (XSS) lưu trữ trong plugin YouTubeAPI. Plugin này hiển thị trường snippet.title do YouTube Data API trả về vào markup của thư viện trang chủ mà không có bất kỳ quá trình mã hóa HTML nào. Tiêu đề được đặt bởi người tải video lên YouTube (bất kỳ ai trên thế giới) và AVideo coi đây là nội dung đáng tin cậy. Một người tải video lên YouTube kiểm soát một video khớp với truy vấn đã cấu hình của toán tử sẽ chèn HTML vào trang chủ AVideo bằng cách đặt tiêu đề video của họ thành một chuỗi chứa JavaScript; sau đó, payload thực thi trong trình duyệt của mọi khách truy cập tải bất kỳ trang nào hiển thị thư viện. Khi khách truy cập là quản trị viên AVideo, JavaScript được chèn có thể thực hiện bất kỳ hành động quản trị nào (tạo người dùng, thăng cấp lên quản trị viên, thay đổi cấu hình, cài đặt plugin) sử dụng xác thực dựa trên cookie mà không cần thêm CSRF token, nâng cấp lỗi thành việc chiếm quyền điều khiển toàn bộ hệ thống. Payload tồn tại trong suốt thời gian cacheTimeout (mặc định 3600 giây) sau khi tiêu đề độc hại được đặt trên YouTube và vẫn tồn tại ngay cả khi YouTube xóa video thù địch cùng khoảng thời gian đó. Vấn đề này đã được khắc phục bằng commit https://github.com/WWBN/AVideo/commit/7292129eaee5f609beae103b5cb387d55f17b877.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.