CVE-2026-47694

Nome do Software Vulnerável e Versões Afetadas AVideo versões 29.0 e anteriores

Description O AVideo armazena descrições de categorias a partir de entradas de usuário e renderiza a variável category description como HTML bruto na visualização da Galeria. Um usuário com permissões para criar ou editar categorias pode injetar JavaScript no campo description, que é executado quando outro usuário ou administrador visualiza a página da Galeria ou da categoria afetada. Este Cross-Site Scripting (XSS) armazenado ocorre porque o valor é renderizado sem a codificação de saída ou sanitização adequada no arquivo plugin/Gallery/view/mainAreaCategory.php. Um invasor pode usar isso para realizar ações em nome da vítima, roubar dados de mesma origem ou abusar de ações da interface administrativa.

Recommendations Para as versões 29.0 e anteriores, sanitize as descrições de categorias na entrada utilizando a mesma política de HTML das descrições de vídeo ou armazene-as apenas como texto simples. Além disso, codifique a saída usando htmlspecialchars() ou processe a descrição através do HTMLPurifier antes do armazenamento ou da renderização.