Existe una vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) en la funcionalidad del parámetro 404Errormsg de VideOnotFound de WWBN Avideo 14.4 y Dev Master Commit 8A8954FF. Una solicitud HTTP especialmente elaborada puede conducir a la ejecución arbitraria de JavaScript. Un atacante puede hacer que un usuario visite una página web para activar esta vulnerabilidad.
Versiones vulnerables confirmadas
Las versiones a continuación fueron probadas o verificadas para ser vulnerables por Talos o confirmadas como vulnerables por el proveedor.
WWBN Avideo 14.4 WWBN Avideo Dev Master Commit 8a8954ff
URL de productos
Avideo – https://github.com/wwbn/avideo
Puntaje CVSSV3
9.6 – CVSS: 3.1/AV: N/AC: L/PR: N/UI: R/S: C/C: H/I: H/A: H
CWE
CWE-79-Neutralización inadecuada de la entrada durante la generación de páginas web (‘Scripting de sitios cruzados’)
DETALLES
Avideo es una aplicación web, en su mayoría escrita en PHP, que se puede utilizar para crear un sitio web para compartir audio/videos. Permite a los usuarios importar videos de varias fuentes, codificarlos y compartirlos de varias maneras. Los usuarios pueden registrarse en el sitio web para compartir videos, mientras que los espectadores tienen acceso anónimo a los contenidos disponibles públicamente. La plataforma proporciona complementos para características como transmisión en vivo, máscaras, cargas de YouTube y más.
El archivo php view/videoNotFound.php es vulnerable a un problema de XSS debido a la falta de desinfectación del 404ErrorMsg parámetro:
…
…
El 404ErrorMsg El parámetro no se desinfecta adecuadamente antes de incrustarse en el contenido de la página (1), lo que resulta en una vulnerabilidad directa de secuencias de comandos de sitios cruzados (XSS). Un atacante podría explotar este defecto para ejecutar acciones maliciosas, como comprometer una cuenta de administrador. Por ejemplo, un atacante podría engañar a un administrador para que haga clic en un enlace elaborado que desencadena el ataque XSS.
Línea de tiempo
2025-07-08-Divulgación de proveedores 2025-07-08-Vendor Patch Release 2025-07-24-Lanzamiento público
Descubierto por Claudio Bozzato de Cisco Talos.
Enlace de la fuente, haz clic para tener más información