CVE-2022-26842

CVSS 9.6 CRITICALEPSS 2.9%CWE-79

En resumen

Una falla en la función de gráficos de AVideo 11.6 permite que atacantes inyecten código malicioso que se ejecuta en los navegadores de los usuarios al hacer clic en un enlace especialmente preparado. Esto puede robar información sensible o ejecutar acciones en nombre del usuario.

Detalle técnico

Vulnerabilidad de XSS reflejado en la funcionalidad de selección de pestañas de gráficos de WWBN AVideo 11.6 y dev master (commit 3f7c0364) permite que atacantes inyecten JavaScript arbitrario mediante una solicitud HTTP manipulada; la explotación requiere ingeniería social para engañar a un usuario autenticado para que visite el enlace malicioso, resultando en secuestro de sesión, robo de credenciales o acciones no autorizadas dentro de la aplicación.

Resumen generado y traducido por IA a partir de la descripción oficial.

A reflected cross-site scripting (xss) vulnerability exists in the charts tab selection functionality of WWBN AVideo 11.6 and dev master commit 3f7c0364. A specially-crafted HTTP request can lead to arbitrary Javascript execution. An attacker can get an authenticated user to send a crafted HTTP request to trigger this vulnerability.

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Productos afectados

WWBN · AVideo

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/WWBN/AVideo/blob/e04b1cd7062e16564157a82bae389eedd39fa088/updatedb/updateDb.v12.0.sql https://talosintelligence.com/vulnerability_reports/TALOS-2022-1537