Plataforma
php
Componente
avideo
Corregido en
14.4.1
8.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en AVideo, específicamente en el parámetro managerPlaylists PlaylistOwnerUsersId. Esta falla permite a un atacante inyectar código JavaScript malicioso en una página web, lo que podría resultar en la ejecución arbitraria de scripts en el navegador de un usuario. La vulnerabilidad afecta a las versiones 14.4 y la rama dev master, y se recomienda actualizar a la versión 14.4.1 para solucionar el problema.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede llevar a una variedad de ataques, incluyendo el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web y la ejecución de acciones en nombre del usuario afectado. El atacante podría, por ejemplo, robar credenciales de acceso o realizar transacciones no autorizadas. Dada la naturaleza crítica de la vulnerabilidad y su potencial para comprometer la seguridad de los usuarios, es crucial aplicar la solución lo antes posible.
Esta vulnerabilidad ha sido publicada públicamente el 2025-07-24. No se ha reportado su inclusión en el KEV de CISA, ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de un PoC público podría facilitar la explotación por parte de atacantes, por lo que se recomienda una respuesta rápida.
Organizations using WWBN AVideo for content management, particularly those with custom integrations or extensions that rely on the managerPlaylists parameter, are at risk. Users with administrative privileges or those who frequently interact with the application are especially vulnerable to exploitation.
• php / web:
grep -r 'managerPlaylists PlaylistOwnerUsersId' /var/www/avideo/• generic web:
curl -I https://your-avideo-instance.com/managerPlaylists?PlaylistOwnerUsersId=<script>alert(1)</script>• generic web:
curl -s https://your-avideo-instance.com/managerPlaylists?PlaylistOwnerUsersId=<script>alert(1)</script> | grep alertdisclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar AVideo a la versión 14.4.1, que incluye la corrección para la falla XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes HTTP que contengan patrones sospechosos que podrían indicar un intento de explotación. Verifique después de la actualización que el parámetro PlaylistOwnerUsersId se valida correctamente y que no se permite la inyección de código JavaScript.
Actualice AVideo a una versión posterior a la afectada. Consulte el sitio web del proveedor para obtener la última versión y las instrucciones de actualización. Aplique las actualizaciones de seguridad proporcionadas por el proveedor lo antes posible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-46410 is a critical Cross-Site Scripting (XSS) vulnerability in WWBN AVideo versions 14.4 and dev master, allowing attackers to execute JavaScript code.
If you are using WWBN AVideo version 14.4 or the dev master branch, you are potentially affected by this vulnerability. Upgrade to 14.4.1 to mitigate the risk.
Upgrade to WWBN AVideo version 14.4.1 or later. As a temporary measure, implement input validation and output encoding on the vulnerable parameter.
As of the current date, there are no confirmed reports of active exploitation, but the high CVSS score indicates a significant risk.
Please refer to the WWBN security advisories page for the latest information and official guidance regarding CVE-2025-46410.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.