注目github_advisory1分
AVideo YPTSocketに未認証格納型DOM XSS脆弱性
要約
AVideoのYPTSocketプラグインに、未認証の攻撃者が任意のJavaScriptを実行できる格納型DOM XSS脆弱性が発見された。攻撃者はWebSocket接続URLに細工した`page_title`パラメータを埋め込むことで、管理者のブラウザ上でスクリプト実行が可能となる。入力値の検証がなく、悪意あるデータがSQLiteの接続テーブルに永続化され、接続中の全クライアントにブロードキャストされる。クライアント側でjQueryによるDOM操作時にXSSが発火する仕組みで、認証済み管理者セッションへの影響が懸念される。
あなたへの影響
AVideoを運用中のチームはYPTSocketプラグインの利用状況を早急に確認し、修正版への更新またはプラグイン無効化を検討すべきだ。
推奨:管理者がオンラインユーザーパネルを閲覧するだけで被害を受ける点で攻撃コストが低く、近日中の対応を推奨する。