Vulnerabilidad en WWBN AVideo (CVE-2026-33035)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/03/2026
Última modificación:
20/03/2026
Descripción
WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, existe una vulnerabilidad de XSS reflejado que permite a atacantes no autenticados ejecutar JavaScript arbitrario en el navegador de una víctima. La entrada del usuario de un parámetro de URL fluye a través de json_encode() de PHP hacia una función de JavaScript que lo renderiza mediante innerHTML, omitiendo la codificación y logrando la ejecución completa del script. La vulnerabilidad es causada por dos problemas que trabajan juntos: entrada de usuario sin escapar pasada a JavaScript (videoNotFound.php), y innerHTML renderizando etiquetas HTML como DOM ejecutable (script.js). El ataque puede escalarse para robar cookies de sesión, tomar el control de cuentas, suplantar credenciales mediante formularios de inicio de sesión inyectados, propagar cargas útiles auto-propagantes y comprometer cuentas de administrador — todo explotando la falta de sanitización adecuada de la entrada y la seguridad de las cookies (p. ej., la ausencia de la bandera HttpOnly en PHPSESSID). El problema ha sido solucionado en la versión 26.0.
Impacto
Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA