WWBN AVideo is an open source video platform. In versions 26.0 and prior, the AVideo admin panel renders plugin configuration values in HTML forms without applying htmlspecialchars() or any other output encoding. The jsonToFormElements() function in admin/functions.php directly interpolates user-controlled values into textarea contents, option elements, and input attributes. An attacker who can set a plugin configuration value (either as a compromised admin or by chaining with CSRF on admin/save.json.php) can inject arbitrary JavaScript that executes whenever any administrator visits the plugin configuration page. At time of publication, there are no publicly available patches.
WWBN AVideo versions 26.0 and prior contain a stored XSS vulnerability in the admin panel where plugin configuration values are rendered without proper HTML encoding, allowing attackers to inject malicious JavaScript. An attacker with admin access or via CSRF can execute arbitrary code in administrator browsers when they visit plugin configuration pages.
تحتوي دالة jsonToFormElements() في admin/functions.php على ثغرة حقن JavaScript حيث يتم إدراج قيم يتحكم بها المستخدم مباشرة في محتويات textarea وعناصر option والسمات. يمكن لمهاجم مع صلاحيات المسؤول أو عبر هجوم CSRF تعيين قيم تكوين المكونات الإضافية الضارة التي تنفذ عند زيارة أي مسؤول لصفحة التكوين.
WWBN AVideo إصدارات 26.0 وما قبلها تحتوي على ثغرة XSS مخزنة في لوحة المسؤول حيث يتم عرض قيم تكوين المكونات الإضافية دون ترميز HTML مناسب. يمكن لمهاجم لديه وصول المسؤول أو عبر CSRF تنفيذ كود عشوائي في متصفحات المسؤولين.
Upgrade WWBN AVideo to a patched version when available. Implement strict input validation and output encoding using htmlspecialchars() for all plugin configuration values. Apply CSRF tokens to admin configuration endpoints. Restrict admin panel access to trusted networks and implement Web Application Firewall (WAF) rules to detect and block XSS payloads.
قم بترقية WWBN AVideo إلى نسخة معالجة عند توفرها. طبق التحقق الصارم من المدخلات وترميز المخرجات باستخدام htmlspecialchars() لجميع قيم تكوين المكونات الإضافية. طبق رموز CSRF على نقاط نهاية تكوين المسؤول. قيد وصول لوحة المسؤول على الشبكات الموثوقة وطبق قواعد جدار حماية تطبيقات الويب للكشف عن حمولات XSS.