WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно исправление CVE-2026-27568 (GHSA-rcqw-6466-3mv7) представило специальный класс ParsedownSafeWithLinks, который очищает необработанные теги HTML `<a>` и `<img>` в комментариях, но явно отключает `safeMode` Parsedown. Это создает обходной путь: синтаксис ссылки уценки `[text](javascript:alert(1))` обрабатывается методом Parsedown `inlineLink()`, который не проходит пользовательскую санацию `sanitizeATag()` (которая обрабатывает только необработанные HTML-теги).
При отключенном SafeMode встроенная в Parsedown фильтрация URI `javascript:` (`sanitiseElement()`/`filterUnsafeUrlInAttribute()`) также неактивна. Злоумышленник может внедрить сохраненный XSS через ссылки уценки комментариев. Коммит 3ae02fa240939dbefc5949d64f05790fd25d728d содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, the fix for CVE-2026-27568 (GHSA-rcqw-6466-3mv7) introduced a custom `ParsedownSafeWithLinks` class that sanitizes raw HTML `<a>` and `<img>` tags in comments, but explicitly disables Parsedown's `safeMode`. This creates a bypass: markdown link syntax `[text](javascript:alert(1))` is processed by Parsedown's `inlineLink()` method, which does not go through the custom `sanitizeATag()` sanitization (that only handles raw HTML tags). With `safeMode` disabled, Parsedown's built-in `javascript:` URI filtering (`sanitiseElement()`/`filterUnsafeUrlInAttribute()`) is also inactive. An attacker can inject stored XSS via comment markdown links. Commit 3ae02fa240939dbefc5949d64f05790fd25d728d contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|