CVE-2026-47694
ŚrednieCVSS 5.4Streszczenie
WWBN AVideo to otwarta platforma wideo, która w wersji 29.0 i wcześniejszych przechowuje opisy kategorii z danych wejściowych użytkowników i renderuje je jako surowy HTML w widoku galerii. Użytkownik, który może tworzyć lub edytować kategorie, może wprowadzić JavaScript w opisie kategorii, co skutkuje jego wykonaniem, gdy inny użytkownik przegląda stronę galerii/kategorii.
Ocena ryzyka
Ta podatność stanowi zagrożenie typu stored XSS, co może prowadzić do wykonania złośliwego kodu w przeglądarkach innych użytkowników, narażając ich dane na niebezpieczeństwo.
Rekomendacja
Zaleca się aktualizację AVideo do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie filtracji danych wejściowych w polach opisów kategorii.
Oryginalny opis (angielski, źródło NVD)
WWBN AVideo is an open source video platform. In 29.0 and earlier, AVideo stores category descriptions from user input and later renders category_description as raw HTML in the Gallery view. A user who can create or edit categories can store JavaScript in a category description, which executes when another user views the affected Gallery/category page. This is a stored XSS in the category description field, separate from previously fixed XSS issues in video titles or comments.

