CVE-2026-33499WWBN AVideo是一个开源视频平台。在26.0及以下版本中,系统存在一个反射型跨站脚本(XSS)漏洞。该问题出现在`view/forbiddenPage.php`和`view/warningPage.php`模板文件中,由于未对`$_REQUEST['unlockPassword']`参数进行适当的输出编码或清理,直接将其反射到HTML `<input>`标签的属性中。攻击者可构造恶意链接,诱导受害者点击,从而在受害者浏览器中执行任意JavaScript代码,窃取会话凭证或进行其他恶意操作。
该漏洞的根本原因在于服务端对用户输入参数缺乏严格的输出编码机制。具体而言,当用户访问特定页面时,应用程序直接从`$_REQUEST`全局变量中获取`unlockPassword`参数的值,并将其未经任何过滤直接嵌入到HTML页面的`<input>`标签的`value`属性中。由于未进行HTML实体编码,攻击者可以通过注入双引号(`"`)提前闭合属性值,随后插入恶意的HTML属性(如`onmouseover`、`onfocus`等)以及JavaScript代码。攻击向量为网络(AV:N),无需认证(PR:N),但需要一定的用户交互(UI:R),即受害者需要点击攻击者构造的恶意链接。一旦受害者访问该链接,注入的脚本将在其浏览器上下文中执行。虽然CVSS评分为6.1(中危),但在配合社会工程学攻击的情况下,该漏洞可用于窃取用户会话Cookie、执行恶意操作或进行钓鱼攻击,对用户数据安全构成威胁。