CVE-2026-27568

Nome do Software Vulnerável e Versões Afetadas Versões do AVideo anteriores a 21.0 Versão 18.0 do AVideo

Descrição O AVideo permite Markdown nos comentários de vídeos e utiliza o Parsedown (v1.7.4) sem o Modo Seguro ativado. Os links em Markdown não são sanitizados adequadamente, permitindo que URIs javascript: sejam renderizados como links clicáveis. Um invasor autenticado com baixo privilégio pode postar um comentário malicioso que injeta JavaScript persistente. Quando outro usuário clica no link, o invasor pode executar ações como sequestro de sessão, elevação de privilégio (incluindo a tomada de controle de administrador) e exfiltração de dados. O problema é um Cross-Site Scripting Armazenado (XSS), conforme definido pela CWE-79.

Recomendações Versões anteriores a 21.0 devem ser atualizadas para a versão 21.0 ou posterior. Para a versão 18.0 do AVideo, valide e bloqueie esquemas de URI inseguros (por exemplo, javascript:) antes de renderizar o Markdown. Ative o Modo Seguro do Parsedown.