CVE-2026-33767 in AVideoinfo

Zusammenfassung

von VulDB • 25.05.2026

WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 erstellt die Methode `getLike()` in `objects/like.php` eine SQL-Abfrage, indem sie einen Prepared-Statement-Platzhalter (`?`) für `users_id` verwendet, `$this->videos_id` jedoch direkt an die Abfragezeichenkette anhängt, ohne ihn zu parametrisieren. Ein Angreifer, der den Wert von `videos_id` kontrollieren kann (z. B. über eine speziell angefertigte Anfrage), kann beliebiges SQL injizieren und damit den teilweisen Schutz durch Prepared Statements umgehen. Der Commit 0215d3c4f1ee748b8880254967b51784b8ac4080 enthält einen Patch.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

27.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353973

CPE

bereit

EPSS

0.00509

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!