CVE-2026-39367

Name of the Vulnerable Software and Affected Versions AVideo versões 26.0 e anteriores

Description O recurso EPG (Electronic Program Guide) do AVideo analisa XML de URLs controladas pelo usuário e renderiza os títulos dos programas diretamente em HTML sem qualquer sanitização ou escape. Um usuário com permissão de upload pode definir o epg link de um vídeo para um arquivo XML malicioso cujos elementos contêm JavaScript. Esta carga útil é executada no navegador de qualquer visitante não autenticado da página pública do EPG, potencialmente permitindo o sequestro de sessão e a tomada de controle da conta.

Recommendations Atualize para uma versão do AVideo mais recente que a 26.0.