Katalog CVE

CVE-2026-40911

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

AVideo to otwartoźródłowa platforma wideo. W wersjach 29.0 i wcześniejszych, serwer WebSocket wtyczki YPTSocket przesyła wiadomości JSON dostarczone przez atakującego do każdego podłączonego klienta bez sanitizacji pól `msg` lub `callback`. To umożliwia atakującemu wykonanie dowolnego kodu JavaScript w kontekście wszystkich aktualnie połączonych użytkowników.

Ocena ryzyka

Atakujący może przejąć konta użytkowników, w tym administratorów, kradnąc sesje i wykonując uprzywilejowane akcje. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 29.1 lub nowszej, w której wprowadzono poprawki eliminujące tę podatność.

Oryginalny opis (angielski, źródło NVD)

WWBN AVideo is an open source video platform. In versions 29.0 and prior, the YPTSocket plugin's WebSocket server relays attacker-supplied JSON message bodies to every connected client without sanitizing the `msg` or `callback` fields. On the client side, `plugin/YPTSocket/script.js` contains two `eval()` sinks fed directly by those relayed fields (`json.msg.autoEvalCodeOnHTML` at line 568 and `json.callback` at line 95). Because tokens are minted for anonymous visitors and never revalidated beyond decryption, an unauthenticated attacker can broadcast arbitrary JavaScript that executes in the origin of every currently-connected user (including administrators), resulting in universal account takeover, session theft, and privileged action execution. Commit c08694bf6264eb4decceb78c711baee2609b4efd contains a fix.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS