CVE-2023-48728

CVSS 9.6 CRITICALEPSS 2.3%CWE-79

En resumen

Una falla en AVideo 11.6 permite que atacantes inyecten código JavaScript malicioso a través de una solicitud especialmente elaborada. Cuando un usuario visita una página controlada por el atacante, el código se ejecuta en su navegador, pudiendo robar datos o realizar acciones en su nombre.

Detalle técnico

Vulnerabilidad de cross-site scripting (XSS) en la funcionalidad getOpenGraph videoName de WWBN AVideo 11.6 y dev master. Un atacante puede inyectar JavaScript arbitrario mediante una solicitud HTTP maliciosa; la explotación requiere interacción del usuario (visitar página controlada por el atacante). El impacto incluye ejecución de código arbitrario en el contexto del navegador de la víctima, con acceso a datos de sesión y acciones del usuario.

Resumen generado y traducido por IA a partir de la descripción oficial.

A cross-site scripting (xss) vulnerability exists in the functiongetOpenGraph videoName functionality of WWBN AVideo 11.6 and dev master commit 3c6bb3ff. A specially crafted HTTP request can lead to arbitrary Javascript execution. An attacker can get a user to visit a webpage to trigger this vulnerability.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Productos afectados

WWBN · AVideo

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://talosintelligence.com/vulnerability_reports/TALOS-2023-1883 https://www.talosintelligence.com/vulnerability_reports/TALOS-2023-1883