anonhaven

CVE-2026-33035

MEDIUM CVSS 4.0: 5,3 EPSS 0.03%
Обновлено 24 марта 2026
PHP
Параметр Значение
CVSS 5,3 (MEDIUM)
Уязвимые версии до 26.0
Устранено в версии 26.0
Тип уязвимости CWE-79 (Межсайтовый скриптинг (XSS))
Поставщик PHP
Публичный эксплойт Нет

WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях 25.0 и ниже присутствует отраженная XSS-уязвимость, которая позволяет неаутентифицированным злоумышленникам выполнять произвольный JavaScript в браузере жертвы. Пользовательский ввод из параметра URL передается через PHP json_encode() в функцию JavaScript, которая отображает его через внутренний HTML, минуя кодирование и обеспечивая полное выполнение сценария.

Уязвимость вызвана двумя совместными проблемами: неэкранированным пользовательским вводом, передаваемым в JavaScript (videoNotFound.php), и внутренней HTML-тегами, отображающими HTML-теги как исполняемый файл DOM (script.js). Атака может быть расширена до кражи файлов cookie сеанса, захвата учетных записей, фишинга учетных данных через внедренные формы входа, распространения самораспространяющихся полезных данных и компрометации учетных записей администратора — и все это за счет отсутствия надлежащей очистки ввода и безопасности файлов cookie (например, отсутствие флага HttpOnly в PHPSESSID). Проблема исправлена ​​в версии 26.0.

Показать оригинальное описание (EN)

WWBN AVideo is an open source video platform. In versions 25.0 and below, there is a reflected XSS vulnerability that allows unauthenticated attackers to execute arbitrary JavaScript in a victim's browser. User input from a URL parameter flows through PHP's json_encode() into a JavaScript function that renders it via innerHTML, bypassing encoding and achieving full script execution. The vulnerability is caused by two issues working together: unescaped user input passed to JavaScript (videoNotFound.php), and innerHTML rendering HTML tags as executable DOM (script.js). The attack can be escalated to steal session cookies, take over accounts, phish credentials via injected login forms, spread self-propagating payloads, and compromise admin accounts — all by exploiting the lack of proper input sanitization and cookie security (e.g., missing HttpOnly flag on PHPSESSID). The issue has been fixed in version 26.0.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-79 Cross-Site Scripting (XSS) (Межсайтовый скриптинг (XSS))

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
 26.0

Ссылки 2

https://github.com/WWBN/AVideo/commit/cca6196f4072cb9acc39b1030fb8fb1702b4f69b
security-advisories@github.com
https://github.com/WWBN/AVideo/security/advisories/GHSA-wfq5-qgqp-hvhv
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-6409

PHP

7,1

CVE-2026-37347

PHP

9,1

CVE-2026-37346

PHP

4,7

CVE-2026-37345

PHP

9,8

CVE-2026-37344

PHP

7,2