CVE-2026-33723 in AVideo
Zusammenfassung
von VulDB • 14.05.2026
WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 verkettet die Methode `Subscribe::save()` in `objects/subscribe.php` die Eigenschaft `$this->users_id` direkt in eine INSERT-SQL-Abfrage, ohne Sanitisierung oder parametrisierte Bindung. Diese Eigenschaft stammt aus `$_POST['user_id']` in sowohl `subscribe.json.php` als auch `subscribeNotify.json.php`. Ein authentifizierter Angreifer kann beliebiges SQL injizieren, um sensible Daten aus jeder Datenbanktabelle zu extrahieren, einschließlich Passwort-Hashes, API-Schlüssel und Verschlüsselungssalze. Der Commit 36dfae22059fbd66fd34bbc5568a838fc0efd66c enthält einen Patch.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.