CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-40911

Critical
Published: Translated: NVD NIST

Summary

AVideo to otwartoźródłowa platforma wideo. W wersjach 29.0 i wcześniejszych, serwer WebSocket wtyczki YPTSocket przesyła wiadomości JSON dostarczone przez atakującego do każdego podłączonego klienta bez sanitizacji pól `msg` lub `callback`. To umożliwia atakującemu wykonanie dowolnego kodu JavaScript w kontekście wszystkich aktualnie połączonych użytkowników.

Risk Assessment

Atakujący może przejąć konta użytkowników, w tym administratorów, kradnąc sesje i wykonując uprzywilejowane akcje. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację do wersji 29.1 lub nowszej, w której wprowadzono poprawki eliminujące tę podatność.

Original NVD description (English source)

WWBN AVideo is an open source video platform. In versions 29.0 and prior, the YPTSocket plugin's WebSocket server relays attacker-supplied JSON message bodies to every connected client without sanitizing the `msg` or `callback` fields. On the client side, `plugin/YPTSocket/script.js` contains two `eval()` sinks fed directly by those relayed fields (`json.msg.autoEvalCodeOnHTML` at line 568 and `json.callback` at line 95). Because tokens are minted for anonymous visitors and never revalidated beyond decryption, an unauthenticated attacker can broadcast arbitrary JavaScript that executes in the origin of every currently-connected user (including administrators), resulting in universal account takeover, session theft, and privileged action execution. Commit c08694bf6264eb4decceb78c711baee2609b4efd contains a fix.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS