wwbn/avideo: Stored XSS no sistema de mensagens WebSocket do SQLite

Vulnerabilidade de XSS armazenado no sistema de mensagens WebSocket do AVideo: o handler MessageSQLite.php remove autoEvalCodeOnHTML apenas de $json['msg'], mas msgToResourceId() lê de $msg['json'] com prioridade maior, permitindo que payloads na chave json burlem a sanitização.

Todas as instâncias do AVideo que usam o backend WebSocket SQLite padrão (plugin/YPTSocket/MessageSQLite.php). Qualquer atacante autenticado pode executar JavaScript arbitrário na sessão do navegador de qualquer usuário conectado.

Aplique a correção substituindo o unset superficial em MessageSQLite.php por uma chamada a removeAutoEvalCodeOnHTMLRecursive($json), consistente com Message.php e MessageSQLiteV2.php.