Plataforma
php
Componente
avideo
Corregido en
14.4.1
8.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en AVideo versión 14.4 y en la rama 'dev master'. Esta falla reside en el manejo del parámetro 'cancelUri' dentro de la funcionalidad 'userLogin'. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario, comprometiendo potencialmente la confidencialidad y la integridad de la información.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante inyectar código JavaScript malicioso en una página web vista por un usuario. Este código puede ser utilizado para robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o incluso modificar el contenido de la página web. El impacto potencial es significativo, ya que un atacante podría obtener acceso no autorizado a cuentas de usuario, realizar acciones en nombre del usuario, o comprometer la seguridad de la aplicación AVideo. La severidad CRÍTICA del CVSS indica un riesgo alto de explotación y un impacto potencialmente devastador.
Esta vulnerabilidad ha sido publicada el 2025-07-24. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente explotable. La disponibilidad de un PoC público podría facilitar la explotación por parte de atacantes. Se recomienda monitorear activamente los sistemas AVideo para detectar signos de actividad maliciosa.
Organizations using WWBN AVideo version 14.4 are at risk, particularly those with web applications that handle sensitive user data or provide access to critical systems. Shared hosting environments where multiple applications share the same server are also at increased risk, as a compromise of one application could potentially lead to the compromise of others.
• php / web:
grep -r 'cancelUri' /var/www/avideo/src/• php / web: Check for unusual JavaScript code being injected into userLogin pages. • generic web: Monitor access logs for requests containing suspicious URLs with the 'cancelUri' parameter. • generic web: Inspect response headers for signs of XSS payloads.
disclosure
Estado del Exploit
EPSS
0.15% (36% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar AVideo a la versión 14.4.1, que incluye la corrección para el problema XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario, especialmente el parámetro 'cancelUri'. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el parámetro 'cancelUri'. Verifique que la configuración de seguridad de AVideo sea la más restrictiva posible para minimizar la superficie de ataque.
Actualice AVideo a una versión posterior a la 14.4 o al commit 8a8954ff. Consulte el sitio web del proveedor para obtener la última versión y las instrucciones de actualización. Aplique las medidas de seguridad recomendadas por el proveedor para mitigar la vulnerabilidad XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Es una vulnerabilidad de Cross-Site Scripting (XSS) en AVideo versión 14.4 que permite la ejecución de código JavaScript malicioso a través del parámetro 'cancelUri'.
Sí, si está utilizando AVideo versión 14.4 y no ha actualizado a la versión 14.4.1, es vulnerable a esta vulnerabilidad.
Actualice AVideo a la versión 14.4.1. Si no es posible, implemente medidas de seguridad adicionales como validación de entrada y un WAF.
Aunque no se ha confirmado explotación activa en campañas conocidas, la naturaleza de XSS la hace inherentemente explotable y se recomienda precaución.
Consulte el sitio web oficial de AVideo o su canal de comunicación de seguridad para obtener el advisory correspondiente.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.