CRITICAL🇬🇧 English

CVE-2026-40911

WWBN AVideo: RCE przez eval() w pluginie YPTSocket — przejęcie kont

CVSS 10.0v3.1pub. 2026-04-21upd. 2026-04-27

W platformie WWBN AVideo (wersja 29.0 i wcześniejsze) plugin YPTSocket pozwala nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu JavaScript w przeglądarce każdego podłączonego użytkownika, w tym administratorów. Podatność umożliwia masowe przejęcie kont i kradzież sesji bez konieczności posiadania jakichkolwiek uprawnień.

Pokaż oryginał (EN)

WWBN AVideo is an open source video platform. In versions 29.0 and prior, the YPTSocket plugin's WebSocket server relays attacker-supplied JSON message bodies to every connected client without sanitizing the `msg` or `callback` fields. On the client side, `plugin/YPTSocket/script.js` contains two `eval()` sinks fed directly by those relayed fields (`json.msg.autoEvalCodeOnHTML` at line 568 and `json.callback` at line 95). Because tokens are minted for anonymous visitors and never revalidated beyond decryption, an unauthenticated attacker can broadcast arbitrary JavaScript that executes in the origin of every currently-connected user (including administrators), resulting in universal account takeover, session theft, and privileged action execution. Commit c08694bf6264eb4decceb78c711baee2609b4efd contains a fix.

🤖 Analiza AI
Jak działa

Serwer WebSocket pluginu YPTSocket przekazuje ciała wiadomości JSON dostarczone przez atakującego do wszystkich podłączonych klientów bez żadnej sanityzacji pól `msg` i `callback`. Po stronie klienta skrypt `plugin/YPTSocket/script.js` przekazuje te pola bezpośrednio do dwóch wywołań `eval()` (linie 568 i 95), co powoduje wykonanie dostarczonego kodu JavaScript w kontekście przeglądarki odbiorcy. Tokeny dostępu są wydawane anonimowym użytkownikom i nie są ponownie weryfikowane poza ich odszyfrowaniem, co oznacza, że atakujący bez żadnych poświadczeń może rozgłosić złośliwy payload do wszystkich aktywnych sesji.

Skutki

Atakujący może przejąć konta wszystkich aktualnie zalogowanych użytkowników (w tym administratorów), wykraść tokeny sesji oraz wykonywać uprzywilejowane operacje w ich imieniu — prowadząc do pełnego kompromitacji platformy.

Mitygacja

Należy zastosować fix zawarty w commicie c08694bf6264eb4decceb78c711baee2609b4efd dostępnym w repozytorium GitHub projektu WWBN/AVideo. Do czasu aktualizacji zaleca się rozważenie wyłączenia pluginu YPTSocket lub ograniczenia dostępu do serwera WebSocket na poziomie firewall.

Kogo dotyczy

WWBN AVideo w wersji 29.0 oraz wcześniejszych

Uwagi

Fix wskazany bezpośrednio w opisie jako konkretny commit: c08694bf6264eb4decceb78c711baee2609b4efd. Podatność sklasyfikowana jako CWE-94 (Code Injection) z wektorem CVSS 10.0 — maksymalny możliwy wynik.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Wwbn Avideo

    APP
    Wwbn
    ≤ 29.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-41064CRITICAL9.3PL ✓ten sam produkt

WWBN AVideo — niekompletna naprawa command injection w test.php

CVE-2026-34374CRITICAL9.1PL ✓ten sam produkt

SQL Injection w WWBN AVideo — mechanizm uwierzytelniania RTMP

CVE-2026-33867CRITICAL9.1PL ✓ten sam produkt

WWBN AVideo: hasła do filmów przechowywane w bazie jako plaintext

CVE-2026-33351CRITICAL9.1PL ✓ten sam produkt

SSRF w WWBN AVideo — brak walidacji parametru URL w saveDVR.json.php

CVE-2026-33478CRITICAL10.0PL ✓ten sam produkt

RCE bez uwierzytelnienia w WWBN AVideo — łańcuch podatności w pluginie CloneSite