漏洞概述 漏洞名称: AVideo - Stored Cross-Site Scripting via Unescaped User-Agent in Participants Panel CVE编号: CVE-2026-60092 CWE编号: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CVSS评分: 5.1 CVSS向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:R/PVC:N/VI:N/VA:N/SC:L/SA:N 发布日期: 7/8/2026 严重程度: 中等 影响范围 受影响软件: AVideo 具体影响: 当参与者加入公共会议时,原始的HTTP User-Agent头会被存储在 中,未经过任何过滤(绕过AVideo的 层),随后在参与者管理面板中回显,该面板对会议主持人和网站管理员可访问。匿名、未认证的攻击者可以加入任何公共会议,同时提供一个包含HTML/JavaScript负载的User-Agent头;该负载会被持久化并在特权、已认证的会议主机或网站管理员打开参与者列表时执行。该问题在报告时未被修补。 修复方案 修复状态: 未修补 参考链接: - GitHub Security Advisory - GitHub Commit POC代码或利用代码 页面中未提供具体的POC代码或利用代码。