CVE-2026-43882

Nome do Software Vulnerável e Versões Afetadas WWBN AVideo versões anteriores a 29.0

Descrição O endpoint não autenticado 'plugin/Scheduler/downloadICS.php' passa os parâmetros title, description e joinURL controlados por um invasor para a função Scheduler::downloadICS(), que utiliza a classe auxiliar ICS para construir um arquivo de calendário ICS. A função ICS::escape string() não neutraliza caracteres de Carriage Return (CR) e Line Feed (LF). Isso permite que um invasor injete linhas ICS arbitrárias, incluindo pares END:VEVENT e BEGIN:VEVENT, para adicionar eventos de calendário não autorizados. Como o arquivo .ics malicioso é servido a partir da origem confiável do AVideo, isso possibilita o phishing de calendário de alta credibilidade, onde reuniões forjadas com SUMMARY, URL, LOCATION e DESCRIPTION escolhidos pelo invasor são adicionadas ao calendário da vítima após a importação.

Recomendações Atualize para uma versão que inclua o commit 764db592f99e545aa86bb9a4ad664ffd14c38ba5. Como medida paliativa temporária, restrinja o acesso ao endpoint 'plugin/Scheduler/downloadICS.php' ou desative o plugin Scheduler.