WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 26.0 WWBN/AVideo содержал сохраненную уязвимость межсайтового сценария в компоненте кнопок загрузки плагина CDN. Поле `clean_title` видеозаписи интерполируется непосредственно в строковый литерал JavaScript без какого-либо экранирования, что позволяет злоумышленнику, который может создать или изменить видео, внедрить произвольный код JavaScript, который выполняется в браузере любого пользователя, посещающего затронутую страницу загрузки.
Версия 26.0 устраняет проблему.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. Prior to version 26.0, WWBN/AVideo contains a stored cross-site scripting vulnerability in the CDN plugin's download buttons component. The `clean_title` field of a video record is interpolated directly into a JavaScript string literal without any escaping, allowing an attacker who can create or modify a video to inject arbitrary JavaScript that executes in the browser of any user who visits the affected download page. Version 26.0 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
26.0
|