CVE-2026-33681 in AVideo
الملخص
بحسب VulDB • 01/06/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، يقبل نقطة النهاية `objects/pluginRunDatabaseScript.json.php` معلمة `name` عبر POST ويمررها إلى `Plugin::getDatabaseFileName()` دون أي تنقية لمنع تجاوز المسار (Path Traversal). يتيح ذلك لمسؤول مُصادق عليه (أو لمهاجم عبر CSRF) تجاوز دليل الإضافات وتنفيذ محتويات أي ملف `install/install.sql` على نظام الملفات كاستعلامات SQL خام ضد قاعدة بيانات التطبيق. يحتوي الالتزام 81b591c509835505cb9f298aa1162ac64c4152cb على تصحيح للثغرة.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.