CVE-2026-33770 in AVideoالمعلومات

الملخص

بحسب VulDB • 08/06/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، تقوم الطريقة الثابتة `fixCleanTitle()` الموجودة في الملف `objects/category.php` ببناء استعلام SQL SELECT عن طريق دمج المتغيرين `$clean_title` و `$id` مباشرةً داخل نص الاستعلام دون استخدام الجاهز statements أو الاستعلامات المعلمّزة (parameterized queries). يمكن لمهاجم قادر على إحداث إنشاء فئة أو إعادة تسميتها باستخدام قيمة عنوان مُعدّة خصيصاً أن يحقن SQL تعسفي. يحتوي الالتزام 994cc2b3d802b819e07e6088338e8bf4e484aae4 على تصحيح للثغرة (patch).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353974

EPSS

0.00492

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!