CVE-2026-40911

Name of the Vulnerable Software and Affected Versions WWBN AVideo versões 29.0 e anteriores

Description O servidor WebSocket do plugin YPTSocket retransmite corpos de mensagens JSON para todos os clientes conectados sem sanitizar os campos msg e callback. No lado do cliente, o arquivo plugin/YPTSocket/script.js contém dois sinks eval() — funções que executam strings como código — que são alimentados diretamente pelas variáveis json.msg.autoEvalCodeOnHTML e json.callback. Como os tokens para visitantes anônimos são gerados e não são revalidados após a descriptografia, um invasor não autenticado pode transmitir JavaScript arbitrário. Esse código é executado na origem de cada usuário conectado, incluindo administradores, podendo levar ao sequestro universal de contas, roubo de sessão e execução de ações privilegiadas.

Recommendations Atualize para a versão que contém o commit c08694bf6264eb4decceb78c711baee2609b4efd.