CVE-2026-39367WWBN AVideo是一个开源视频平台。在26.0及之前版本中,其EPG(电子节目指南)功能存在安全缺陷。该功能从用户控制的URL解析XML文件,并将节目标题直接渲染到HTML页面中,且未进行任何清理或转义处理。具有上传权限的用户可以将视频的epg_link设置为包含恶意JavaScript代码的XML文件。当任何未经身份验证的访问者访问该公共EPG页面时,恶意载荷将在其浏览器中执行,从而导致会话劫持和账户接管等严重后果。
该漏洞属于跨站脚本攻击(XSS),具体存在于AVideo平台的EPG模块中。漏洞成因是系统在处理外部XML数据时缺乏有效的输出编码。攻击者首先需要拥有平台的上传权限,利用此权限编辑视频属性,指定一个包含恶意XML的外部链接作为`epg_link`。该XML文件中的`<title>`元素被嵌入了JavaScript代码(例如`<script>`标签或事件处理器)。当系统从该URL拉取并解析XML时,并未过滤特殊字符,直接将标题内容输出到HTML上下文中。当普通用户浏览包含该EPG信息的页面时,浏览器会将恶意代码当作有效脚本执行。由于攻击者可以控制脚本内容,这允许他们窃取受害者的会话Cookie,进而接管账户,执行未授权操作。