CVE-2026-34716 CVSS 6.4 中危

CVE-2026-34716 AVideo YPTSocket插件XSS漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34716

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WWBN AVideo

漏洞概述

WWBN AVideo 26.0及之前版本的YPTSocket插件存在跨站脚本漏洞。攻击者可将恶意JavaScript注入到显示名称中。当攻击者发起呼叫时，受害者的浏览器会通过WebSocket接收通知，jQuery插件会将未过滤的显示名作为HTML渲染，导致恶意代码在受害者浏览器中自动执行。

技术细节

该漏洞位于AVideo的YPTSocket插件中。该插件使用jQuery Toast插件显示来电通知，将呼叫者的显示名称直接作为标题参数传递。Toast插件使用字符串拼接（'<h2>' + heading + '</h2>'）并通过jQuery的.html()方法将其插入DOM。由于.html()方法解析HTML内容，攻击者只需将显示名称更改为XSS Payload（如<img src=x onerror=alert(1)>）并呼叫目标。只要受害者连接到WebSocket，无需任何交互即可触发代码执行，导致会话劫持或恶意操作。

攻击链分析

STEP 1

攻击者注册并登录WWBN AVideo平台。

STEP 2

攻击者修改个人资料，将显示名称设置为XSS Payload。

STEP 3

攻击者通过YPTSocket插件向在线受害者发起WebSocket呼叫。

STEP 4

受害者的浏览器接收呼叫通知，jQuery Toast插件解析包含Payload的显示名称。

STEP 5

恶意JavaScript在受害者浏览器上下文中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC: Set Display Name to the payload and initiate a call
// Payload (XSS payload)
var xssPayload = '<img src=x onerror=alert(\'CVE-2026-34716 Executed\')>';

// The vulnerable code in AVideo constructs the HTML like this:
// $(".toast-message").html('<h2>' + callerName + '</h2>');
// When the call is received, the browser renders the H2 tag and executes the onerror event.

影响范围

WWBN AVideo <= 26.0

防御指南

临时缓解措施

由于目前尚无公开补丁，建议管理员暂时禁用YPTSocket插件以阻断攻击路径。此外，可以部署Web应用防火墙（WAF）规则来检测并拦截WebSocket流量中包含常见XSS特征的数据包。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表