WWBN AVideo — видеоплатформа с открытым исходным кодом. До версии 26.0 WWBN/AVideo содержал открытую уязвимость перенаправления в процессе входа в систему, когда предоставленный пользователем параметр redirectUri отражается непосредственно в задании JavaScript `document.location` без безопасного для JavaScript кодирования. После того, как пользователь завершает поток всплывающего окна для входа в систему, обратный вызов таймера выполняет перенаправление, используя непроверенное значение, отправляя жертву на сайт, контролируемый злоумышленником.
Версия 26.0 устраняет проблему.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. Prior to version 26.0, WWBN/AVideo contains an open redirect vulnerability in the login flow where a user-supplied redirectUri parameter is reflected directly into a JavaScript `document.location` assignment without JavaScript-safe encoding. After a user completes the login popup flow, a timer callback executes the redirect using the unvalidated value, sending the victim to an attacker-controlled site. Version 26.0 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
26.0
|