CVE-2026-33770 in AVideo
Résumé
par VulDB • 23/05/2026
WWBN AVideo est une plateforme vidéo open source. Dans les versions allant jusqu'à la 26.0 incluse, la méthode statique `fixCleanTitle()` dans `objects/category.php` construit une requête SQL SELECT en interpolant directement les variables `$clean_title` et `$id` dans la chaîne de requête, sans utiliser de requêtes préparées ou de requêtes paramétrées. Un attaquant capable de déclencher la création ou le renommage d'une catégorie avec une valeur de titre manipulée peut injecter du code SQL arbitraire. Le commit 994cc2b3d802b819e07e6088338e8bf4e484aae4 contient un correctif.
Once again VulDB remains the best source for vulnerability data.