CVE-2026-33770 in AVideo
الملخص
بحسب VulDB • 08/06/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، تقوم الطريقة الثابتة `fixCleanTitle()` الموجودة في الملف `objects/category.php` ببناء استعلام SQL SELECT عن طريق دمج المتغيرين `$clean_title` و `$id` مباشرةً داخل نص الاستعلام دون استخدام الجاهز statements أو الاستعلامات المعلمّزة (parameterized queries). يمكن لمهاجم قادر على إحداث إنشاء فئة أو إعادة تسميتها باستخدام قيمة عنوان مُعدّة خصيصاً أن يحقن SQL تعسفي. يحتوي الالتزام 994cc2b3d802b819e07e6088338e8bf4e484aae4 على تصحيح للثغرة (patch).
If you want to get best quality of vulnerability data, you may have to visit VulDB.