Plataforma
php
Componente
avideo
Corregido en
14.4.1
8.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en AVideo versión 14.4 y en la rama 'dev master'. Esta falla reside en el parámetro videoNotFound 404ErrorMsg y permite a un atacante inyectar código JavaScript malicioso. La ejecución exitosa de este código puede comprometer la seguridad de los usuarios y la integridad de la aplicación, afectando a las versiones 14.4 y posteriores. La solución es actualizar a la versión 14.4.1.
La vulnerabilidad XSS en AVideo permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el control total de la cuenta del usuario. Un atacante podría crear una página web maliciosa que contenga el código JavaScript inyectado y engañar a un usuario para que la visite, activando así la vulnerabilidad. La severidad crítica de esta vulnerabilidad (CVSS 9.6) indica un alto riesgo de explotación y un impacto significativo en la seguridad de la aplicación y sus usuarios.
La vulnerabilidad CVE-2025-50128 fue publicada el 24 de julio de 2025. No se ha reportado explotación activa a la fecha. La probabilidad de explotación se considera media, dado que las vulnerabilidades XSS son relativamente fáciles de explotar y pueden ser aprovechadas por atacantes con diferentes niveles de habilidad. No se ha añadido a KEV a la fecha.
Organizations using WWBN AVideo version 14.4, particularly those with publicly accessible video streaming services, are at significant risk. Shared hosting environments where multiple users share the same AVideo instance are especially vulnerable, as an attacker could potentially compromise other users' accounts through this vulnerability.
• php: Examine access logs for requests containing suspicious payloads in the videoNotFound parameter. Use grep to search for patterns indicative of XSS attempts.
grep 'videoNotFound=[^a-zA-Z0-9]*' access.log• generic web: Use curl to test the affected endpoint with a simple XSS payload and observe the response for signs of script execution.
curl 'http://your-avideo-site.com/?videoNotFound=<script>alert(1)</script>'• generic web: Check response headers for Content-Security-Policy (CSP) directives. Absence or weak CSP configurations increase the risk.
disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar AVideo a la versión 14.4.1, que incluye la corrección para la falla XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario antes de mostrarlas en la página web. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes HTTP que contengan patrones sospechosos de inyección de código JavaScript. Verifique después de la actualización que el parámetro videoNotFound 404ErrorMsg se está manejando correctamente y no permite la inyección de código.
Actualice AVideo a una versión posterior a la 14.4 o al commit posterior a 8a8954ff. Esto solucionará la vulnerabilidad XSS en el parámetro videoNotFound 404ErrorMsg. Consulte el informe de Talos Intelligence para obtener más detalles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-50128 is a critical cross-site scripting (XSS) vulnerability in WWBN AVideo versions 14.4 and dev master, allowing attackers to execute malicious scripts.
If you are using WWBN AVideo version 14.4 or the dev master branch, you are potentially affected by this vulnerability.
Upgrade to version 14.4.1 or later to resolve the vulnerability. Implement WAF rules and CSP headers as temporary mitigations.
While no active exploitation has been confirmed, the XSS nature of the vulnerability suggests a high likelihood of exploitation.
Refer to the official WWBN security advisory for detailed information and updates regarding CVE-2025-50128.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.