CVE-2026-33767 in AVideoinformation

Résumé

par VulDB • 25/05/2026

WWBN AVideo est une plateforme vidéo open source. Dans les versions allant jusqu'à la 26.0 incluse, dans le fichier `objects/like.php`, la méthode `getLike()` construit une requête SQL en utilisant un espace réservé de déclaration préparée (`?`) pour `users_id`, mais concatène directement `$this->videos_id` dans la chaîne de requête sans paramétrisation. Un attaquant pouvant contrôler la valeur `videos_id` (via une requête fabriquée) peut injecter du SQL arbitraire, contournant ainsi la protection partielle offerte par les déclarations préparées. Le commit 0215d3c4f1ee748b8880254967b51784b8ac4080 contient un correctif.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

27/03/2026

Modérer

accepté

Entrée

VDB-353973

CPE

prêt

EPSS

0.00509

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!