One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8334412 |
| Date de publication | 2023-05-08 19:15:12 (vue: 2023-05-08 21:08:18) |
| Titre | CVE-2023-30860 |
| Texte | WWBN AVIDEO est une plate-forme vidéo open source.Dans AVIDEO avant la version 12.4, un utilisateur normal peut créer un calendrier de réunion où l'utilisateur peut inviter un autre utilisateur dans cette réunion, mais il ne désinfecte pas correctement les personnages malveillants lors de la création d'une salle de réunion.Cela permet à l'attaquant d'insérer des scripts malveillants.Étant donné que tout utilisateur incluant l'administrateur peut voir la salle de réunion qui a été créée par l'attaquant, cela peut conduire à un détournement de cookies et à une prise de contrôle de tous les comptes.La version 12.4 contient un correctif pour ce problème.
WWBN AVideo is an open source video platform. In AVideo prior to version 12.4, a normal user can make a Meeting Schedule where the user can invite another user in that Meeting, but it does not properly sanitize the malicious characters when creating a Meeting Room. This allows attacker to insert malicious scripts. Since any USER including the ADMIN can see the meeting room that was created by the attacker this can lead to cookie hijacking and takeover of any accounts. Version 12.4 contains a patch for this issue. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2023 30860 accounts admin allows another any attacker avideo but can characters contains cookie created creating cve does hijacking including insert invite issue lead make malicious meeting normal not open patch platform prior properly room sanitize schedule scripts see since source takeover user version video when where wwbn |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.