CVE-2026-43876

Nome do Software Vulnerável e Versões Afetadas WWBN AVideo versões anteriores a 29.1

Descrição Existe um problema onde o endpoint "/objects/notifySubscribers.json.php" aceita um parâmetro POST message bruto e o passa para a função sendSiteEmail(). Esta função substitui a entrada diretamente em um modelo de e-mail HTML via str replace no marcador {message} e o renderiza usando PHPMailer::msgHTML() sem qualquer sanitização de HTML, escape de caracteres ou codificação de saída.

Usuários autenticados com permissões de upload podem transmitir HTML arbitrário, como links de phishing, pixels de rastreamento e spoofing de CSS/UI, para até 10.000 inscritos por invocação. Como os e-mails são enviados do endereço de contato configurado da plataforma e incluem o logotipo e o título oficiais, as comunicações parecem oficiais. Além disso, a função createEmailMessageFromTemplate() contém uma verificação que permite que qualquer payload contendo uma tag <html> ignore completamente o modelo e seja enviado como está.

Recomendações Atualize para uma versão onde o parâmetro message seja sanitizado ou codificado antes de chegar ao PHPMailer::msgHTML(). Como solução temporária, restrinja o acesso ao endpoint "/objects/notifySubscribers.json.php" ou desabilite a capacidade de usuários não administrativos notificarem inscritos até que uma correção seja aplicada.