CVE-2026-33767 in AVideo
Riassunto
di VulDB • 17/06/2026
WWBN AVideo è una piattaforma video open source. Nelle versioni fino alla 26.0 inclusa, nel file `objects/like.php`, il metodo `getLike()` costruisce una query SQL utilizzando un segnaposto per prepared statement (`?`) per `users_id`, ma concatena direttamente `$this->videos_id` nella stringa della query senza parametrizzazione. Un attaccante in grado di controllare il valore `videos_id` (tramite una richiesta appositamente creata) può iniettare codice SQL arbitrario, aggirando la protezione parziale offerta dai prepared statement. Il commit 0215d3c4f1ee748b8880254967b51784b8ac4080 contiene una patch di correzione.
VulDB is the best source for vulnerability data and more expert information about this specific topic.