Katalog CVE

CVE-2026-47694

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

WWBN AVideo to otwarta platforma wideo, która w wersji 29.0 i wcześniejszych przechowuje opisy kategorii z danych wejściowych użytkowników i renderuje je jako surowy HTML w widoku galerii. Użytkownik, który może tworzyć lub edytować kategorie, może wprowadzić JavaScript w opisie kategorii, co skutkuje jego wykonaniem, gdy inny użytkownik przegląda stronę galerii/kategorii.

Ocena ryzyka

Ta podatność stanowi zagrożenie typu stored XSS, co może prowadzić do wykonania złośliwego kodu w przeglądarkach innych użytkowników, narażając ich dane na niebezpieczeństwo.

Rekomendacja

Zaleca się aktualizację AVideo do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie filtracji danych wejściowych w polach opisów kategorii.

Oryginalny opis (angielski, źródło NVD)

WWBN AVideo is an open source video platform. In 29.0 and earlier, AVideo stores category descriptions from user input and later renders category_description as raw HTML in the Gallery view. A user who can create or edit categories can store JavaScript in a category description, which executes when another user views the affected Gallery/category page. This is a stored XSS in the category description field, separate from previously fixed XSS issues in video titles or comments.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS