CVE-2026-33723 in AVideoالمعلومات

الملخص

بحسب VulDB • 14/05/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، تقوم الطريقة `Subscribe::save()` الموجودة في الملف `objects/subscribe.php` بدمج خاصية `$this->users_id` مباشرةً في استعلام INSERT الخاص بـ SQL دون أي تنقية أو استخدام للربط المعلمي (parameterized binding). تنشأ هذه الخاصية من `$_POST['user_id']` في كل من `subscribe.json.php` و `subscribeNotify.json.php`. يمكن لمهاجم مُصادَق عليه حقن استعلام SQL تعسفي لاستخراج بيانات حساسة من أي جدول في قاعدة البيانات، بما في ذلك تجزئات كلمات المرور (password hashes)، ومفاتيح واجهة برمجة التطبيقات (API keys)، والأملاح المشفرة (encryption salts). يحتوي الالتزام (Commit) 36dfae22059fbd66fd34bbc5568a838fc0efd66c على تصحيح للثغرة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

23/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-352569

EPSS

0.00224

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!