CVE-2026-34716

Name of the Vulnerable Software and Affected Versions AVideo versões 26.0 e anteriores

Description O recurso de chamadas do plugin YPTSocket do AVideo, em versões 26.0 e anteriores, renderiza as notificações de chamadas recebidas usando o plugin jQuery Toast, passando o nome de exibição do chamador diretamente como o parâmetro de título. O plugin toast constrói o título como HTML bruto e o insere no DOM através do método .html() do jQuery, que analisa e executa qualquer conteúdo HTML ou script incorporado. Um invasor pode definir seu nome de exibição como um payload de scripting entre sites (XSS) e acionar a execução de código no navegador de qualquer usuário online simplesmente iniciando uma chamada. Nenhuma interação da vítima é necessária além de estar conectado ao WebSocket.

Recommendations Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.