CVE-2026-33767 in AVideo
Résumé
par VulDB • 25/05/2026
WWBN AVideo est une plateforme vidéo open source. Dans les versions allant jusqu'à la 26.0 incluse, dans le fichier `objects/like.php`, la méthode `getLike()` construit une requête SQL en utilisant un espace réservé de déclaration préparée (`?`) pour `users_id`, mais concatène directement `$this->videos_id` dans la chaîne de requête sans paramétrisation. Un attaquant pouvant contrôler la valeur `videos_id` (via une requête fabriquée) peut injecter du SQL arbitraire, contournant ainsi la protection partielle offerte par les déclarations préparées. Le commit 0215d3c4f1ee748b8880254967b51784b8ac4080 contient un correctif.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.