A cross-site scripting (xss) vulnerability exists in the footer alerts functionality of WWBN AVideo 11.6 and dev master commit 3f7c0364. A specially-crafted HTTP request can lead to arbitrary Javascript execution. An attacker can get an authenticated user to send a crafted HTTP request to trigger this vulnerability.This vulnerability arrises from the "toast" parameter which is inserted into the document with insufficient sanitization.
Se presenta una vulnerabilidad de tipo cross-site scripting (xss) en la funcionalidad footer alerts de WWBN AVideo versiones 11.6 y dev master commit 3f7c0364. Una petición HTTP especialmente diseñada puede conllevar a una ejecución arbitraria de Javascript. Un atacante puede conseguir a un usuario autenticado enviar una petición HTTP diseñada para desencadenar esta vulnerabilidad, que surge del parámetro "toast", que es insertado en el documento con un saneo insuficiente.
