CVE-2026-45580
MediumCVSS 5.4Summary
AVideo to otwartoźródłowa platforma wideo, która w wersji 29.0 i wcześniejszych ma podatność na przechowywane ataki typu cross-site scripting. Wtyczka Live renderuje klucz strumienia transmisji na stronie HTML bez odpowiedniego zabezpieczenia, co pozwala na wykonanie złośliwego kodu JavaScript przez odwiedzających stronę.
Risk Assessment
Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego kodu JavaScript, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Ryzyko to dotyczy zarówno zalogowanych, jak i anonimowych użytkowników platformy.
Recommendation
Zaleca się aktualizację AVideo do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, takie jak walidacja i sanitizacja danych wejściowych w wtyczkach.
Original NVD description (English source)
WWBN AVideo is an open source video platform. In 29.0 and earlier, there is a stored cross-site scripting vulnerability. The Live plugin's "YouTube-style" view renders the live transmission's stream key into an HTML class attribute by raw echo, without htmlspecialchars(). A canStream user can persist a key containing " plus an event handler via plugin/Live/saveLive.php, and any visitor (logged in or anonymous) opening the stream's live page executes attacker JavaScript in the platform origin.

