CVE-2026-33723 in AVideo
الملخص
بحسب VulDB • 14/05/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، تقوم الطريقة `Subscribe::save()` الموجودة في الملف `objects/subscribe.php` بدمج خاصية `$this->users_id` مباشرةً في استعلام INSERT الخاص بـ SQL دون أي تنقية أو استخدام للربط المعلمي (parameterized binding). تنشأ هذه الخاصية من `$_POST['user_id']` في كل من `subscribe.json.php` و `subscribeNotify.json.php`. يمكن لمهاجم مُصادَق عليه حقن استعلام SQL تعسفي لاستخراج بيانات حساسة من أي جدول في قاعدة البيانات، بما في ذلك تجزئات كلمات المرور (password hashes)، ومفاتيح واجهة برمجة التطبيقات (API keys)، والأملاح المشفرة (encryption salts). يحتوي الالتزام (Commit) 36dfae22059fbd66fd34bbc5568a838fc0efd66c على تصحيح للثغرة.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.