CVE-2026-33723 in AVideoinfo

Zusammenfassung

von VulDB • 14.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 verkettet die Methode `Subscribe::save()` in `objects/subscribe.php` die Eigenschaft `$this->users_id` direkt in eine INSERT-SQL-Abfrage, ohne Sanitisierung oder parametrisierte Bindung. Diese Eigenschaft stammt aus `$_POST['user_id']` in sowohl `subscribe.json.php` als auch `subscribeNotify.json.php`. Ein authentifizierter Angreifer kann beliebiges SQL injizieren, um sensible Daten aus jeder Datenbanktabelle zu extrahieren, einschließlich Passwort-Hashes, API-Schlüssel und Verschlüsselungssalze. Der Commit 36dfae22059fbd66fd34bbc5568a838fc0efd66c enthält einen Patch.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

23.03.2026

Moderieren

akzeptiert

Eintrag

VDB-352569

CPE

bereit

EPSS

0.00224

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!