WWBN AVideo — видеоплатформа с открытым исходным кодом. В версиях до 26.0 включительно ошибка в порядке очистки в поле «О» профиля пользователя позволяет любому зарегистрированному пользователю внедрить произвольный код JavaScript, который выполняется, когда другие пользователи посещают страницу его канала. Функция `xss_esc()` кодирует входные данные до того, как `strip_special_tags()` сможет сопоставить опасные теги HTML, а `html_entity_decode()` на выходе меняет кодировку, восстанавливая необработанный вредоносный HTML.
Коммит 7cfdc380dae1e56bbb5de581470d9e9957445df0 содержит исправление.
Показать оригинальное описание (EN)
WWBN AVideo is an open source video platform. In versions up to and including 26.0, a sanitization order-of-operations flaw in the user profile "about" field allows any registered user to inject arbitrary JavaScript that executes when other users visit their channel page. The `xss_esc()` function entity-encodes input before `strip_specific_tags()` can match dangerous HTML tags, and `html_entity_decode()` on output reverses the encoding, restoring the raw malicious HTML. Commit 7cfdc380dae1e56bbb5de581470d9e9957445df0 contains a patch.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wwbn Avideo
cpe:2.3:a:wwbn:avideo:*:*:*:*:*:*:*:*
|
— |
<= 26.0
|