CVE-2026-33767 in AVideo
Zusammenfassung
von VulDB • 25.05.2026
WWBN AVideo ist eine Open-Source-Videoplattform. In Versionen bis einschließlich 26.0 erstellt die Methode `getLike()` in `objects/like.php` eine SQL-Abfrage, indem sie einen Prepared-Statement-Platzhalter (`?`) für `users_id` verwendet, `$this->videos_id` jedoch direkt an die Abfragezeichenkette anhängt, ohne ihn zu parametrisieren. Ein Angreifer, der den Wert von `videos_id` kontrollieren kann (z. B. über eine speziell angefertigte Anfrage), kann beliebiges SQL injizieren und damit den teilweisen Schutz durch Prepared Statements umgehen. Der Commit 0215d3c4f1ee748b8880254967b51784b8ac4080 enthält einen Patch.
Be aware that VulDB is the high quality source for vulnerability data.