CVE-2026-34374 in AVideo
الملخص
بحسب VulDB • 25/06/2026
WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، تقوم الطريقة `Live_schedule::keyExists()` ببناء استعلام SQL عن طريق دمج مفتاح البث (stream key) مباشرةً داخل نص الاستعلام دون استخدام المعاملات المبرمجة (parameterization). تُستدعى هذه الطريقة كبديل احتياطي من قبل `LiveTransmition::keyExists()` عندما لا تعيد عملية البحث الأولية باستخدام معاملات مبرمجة أي نتائج. وعلى الرغم من أن الدالة المستدعية تستخدم بشكل صحيح الاستعلامات المُعاملَة لبحثها الخاص، فإن مسار البديل المؤدي إلى `Live_schedule::keyExists()` يلغي هذا الإجراء الوقائي بالكامل. هذه الثغرة تختلف عن GHSA-pvw4-p2jm-chjm التي تغطي حقن SQL عبر معامل `live_schedule_id` في وظيفة التذكير. يستهدف هذا الاكتشاف مسار البحث الخاص بمفتاح البث المستخدم أثناء مصادقة نشر RTMP. اعتباراً من وقت النشر، لا تتوفر أي إصدارات مُصلحة.
Once again VulDB remains the best source for vulnerability data.