CVE-2026-45580

Nome do Software Vulnerável e Versões Afetadas AVideo versões 29.0 e anteriores

Descrição Um problema de cross-site scripting (XSS) armazenado existe na visualização "estilo YouTube" do plugin Live. A aplicação renderiza a chave de transmissão ao vivo em um atributo de classe HTML usando um echo bruto, sem a devida sanitização. Um usuário com a permissão canStream pode persistir uma chave maliciosa contendo um manipulador de eventos através do endpoint 'plugin/Live/saveLive.php'. Quando qualquer visitante, incluindo usuários anônimos ou administradores, abre a página ao vivo da transmissão afetada, o JavaScript do invasor é executado na origem da plataforma. Isso pode permitir que o invasor roube cookies de sessão, leia o conteúdo do DOM ou realize ações não autorizadas caso a vítima seja um administrador.

Recomendações Atualize o AVideo para uma versão posterior à 29.0. Como mitigação temporária, restrinja a permissão canStream apenas a usuários confiáveis para evitar a persistência de chaves de transmissão maliciosas. Restrinja o acesso ao endpoint 'plugin/Live/saveLive.php' para minimizar o risco de exploração.