Pubblicato il 2026-07-15 · Fonte: NVD NIST
La vulnerabilità CVE-2026-54458 è una stored DOM Cross-Site Scripting nel plugin YPTSocket di WWBN AVideo. Questa vulnerabilità consente a un attaccante non autenticato di eseguire codice JavaScript arbitrario nell'origine autenticata di ogni amministratore che visualizza una pagina che rende il pannello di debug degli utenti online di YPTSocket. La vulnerabilità è stata riscontrata nelle versioni precedenti alla 29.0 di WWBN AVideo.
Un attaccante può sfruttare questa vulnerabilità per leggere cookie non HttpOnly e token CSRF, emettere richieste autenticate a endpoint riservati agli amministratori, esfiltrare il DOM del pannello di amministrazione e eseguire mutazioni nel contesto dell'amministratore. Ciò può portare a un completo takeover dell'account dell'amministratore.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare WWBN AVideo alla versione 29.0 o successiva. L'aggiornamento è disponibile su GitHub e risolve la vulnerabilità correggendo il plugin YPTSocket. In generale, è importante mantenere il software aggiornato e applicare patch di sicurezza regolarmente per prevenire attacchi di questo tipo.
La vulnerabilità CVE-2026-54458 è una stored DOM Cross-Site Scripting nel plugin YPTSocket di WWBN AVideo che consente l'esecuzione di codice JavaScript arbitrario.
Un attaccante può sfruttare questa vulnerabilità per leggere cookie non HttpOnly e token CSRF, emettere richieste autenticate e eseguire mutazioni nel contesto dell'amministratore.
Per proteggersi da questa vulnerabilità, è necessario aggiornare WWBN AVideo alla versione 29.0 o successiva e applicare patch di sicurezza regolarmente.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.