CVE-2026-34374 in AVideoالمعلومات

الملخص

بحسب VulDB • 25/06/2026

WWBN AVideo هو منصة فيديو مفتوحة المصدر. في الإصدارات حتى 26.0 شاملاً، تقوم الطريقة `Live_schedule::keyExists()` ببناء استعلام SQL عن طريق دمج مفتاح البث (stream key) مباشرةً داخل نص الاستعلام دون استخدام المعاملات المبرمجة (parameterization). تُستدعى هذه الطريقة كبديل احتياطي من قبل `LiveTransmition::keyExists()` عندما لا تعيد عملية البحث الأولية باستخدام معاملات مبرمجة أي نتائج. وعلى الرغم من أن الدالة المستدعية تستخدم بشكل صحيح الاستعلامات المُعاملَة لبحثها الخاص، فإن مسار البديل المؤدي إلى `Live_schedule::keyExists()` يلغي هذا الإجراء الوقائي بالكامل. هذه الثغرة تختلف عن GHSA-pvw4-p2jm-chjm التي تغطي حقن SQL عبر معامل `live_schedule_id` في وظيفة التذكير. يستهدف هذا الاكتشاف مسار البحث الخاص بمفتاح البث المستخدم أثناء مصادقة نشر RTMP. اعتباراً من وقت النشر، لا تتوفر أي إصدارات مُصلحة.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

27/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354005

EPSS

0.00344

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!