CVE-2026-33770 in AVideoinformation

Résumé

par VulDB • 23/05/2026

WWBN AVideo est une plateforme vidéo open source. Dans les versions allant jusqu'à la 26.0 incluse, la méthode statique `fixCleanTitle()` dans `objects/category.php` construit une requête SQL SELECT en interpolant directement les variables `$clean_title` et `$id` dans la chaîne de requête, sans utiliser de requêtes préparées ou de requêtes paramétrées. Un attaquant capable de déclencher la création ou le renommage d'une catégorie avec une valeur de titre manipulée peut injecter du code SQL arbitraire. Le commit 994cc2b3d802b819e07e6088338e8bf4e484aae4 contient un correctif.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

27/03/2026

Modérer

accepté

Entrée

VDB-353974

CPE

prêt

EPSS

0.00492

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!