CVE-2026-43874

Nome do Software Vulnerável e Versões Afetadas WWBN AVideo versões anteriores a 29.1

Descrição Um invasor não autenticado pode executar JavaScript arbitrário na sessão do navegador de qualquer usuário conectado. O problema decorre de uma mitigação incompleta no lado do servidor para um sumidouro (sink) de eval. Embora o sistema tente remover a carga útil autoEvalCodeOnHTML, ele o faz apenas quando localizada sob a variável $json['msg']. No entanto, a função msgToResourceId() prioriza a variável $msg['json'] para mensagens de saída, permitindo que a carga útil ignore a etapa de remoção se estiver aninhada em um campo json de nível superior.

Um invasor pode obter um token WebSocket através do endpoint 'plugin/YPTSocket/getWebSocket.json.php', conectar-se ao servidor WebSocket e enviar uma mensagem manipulada direcionada a um usuário específico por meio da variável to users id. A carga útil é entregue integralmente à vítima, onde o script do lado do cliente a executa usando a função eval(). Isso pode levar à exfiltração de dados de sessão ou escalonamento de privilégios caso um administrador seja o alvo.

Recomendações Atualize para uma versão que contenha o commit 9f3006f9a89a34daa67a83c6ad35f450cb91fcce. Como medida paliativa temporária, restrinja o acesso ao endpoint 'plugin/YPTSocket/getWebSocket.json.php' para minimizar o risco de invasores não autenticados obterem tokens WebSocket.